....
官衙門丟了份弱掃報告過來,說為什麼有弱點,問題是根本掃錯地方啊----這完全證明了所謂"資安"業者就是亂掃一通,而且官衙門的人連看都沒看就直接塞給鵝了事,偏偏官衙門就吃這套啊
....
....
nick667 wrote:
這兩個都很簡單..
到DOMAIN主機那加個文字就搞定.
看來大家都沒看出鵝的重點,假設官衙門叫ooxx.gov.tw好了,那要檢查DNS上mail相關record通常是先查MX,沒有MX的話再看有沒有A或AAAA RR,有MX或A/AAAA RR的話,SPF/DMARC應該就定義在ooxx.gov.tw這層,不然就按慣例查mail.ooxx.gov.tw,有MX或A/AAAA RR的話就是定義在mail.ooxx.gov.tw這層,"資安"業者的弱掃工具應該是查不到MX或A/AAAA RR(因為本來就沒有),就隨便套個www.ooxx.gov.tw了事----問題是mail server根本不叫www.ooxx.gov.tw啊,自動化工具猜不到,廠商的人不會問業主嗎,再說鵝很難相信測試前廠商的人完全沒跟業主Email往來過,既然往來過,那DNS上長怎樣對廠商的人而言應該可以說是common sense吧
....
很正常,業主沒有直接指定要甚麼,廠商哪可能整天問來問去,而且更有可能的是對接的人知道,被指派做的人不知道,是我也是隨便選個交差,有問題再說。比較奇怪的是你們卻不把皮球踢回去,這也是常識吧...
wangcm
樓主
鵝就直接回他上面那兩個圖啊,只是以鵝個人觀點,資安廠商對他們要稽核的服務應該要有基本的認知吧,連common sense都沒有是要怎麼稽核有沒有弱點啊[汗]....
內文搜尋
從 APP 打開
X