mars_dm wrote:
1000樓出來囉~~...(恕刪)
後臺不過是人寫的程式,鎖的夠嚴謹,自然別人能亂搞的機會就低
而且後臺能看得,應該就單純程式"整理過的資料",目前有揭露的staticPage跟list_dir就屬此類
回reynard,
你舉的小偷例子很好啊,就你看到的狀態,確實是鎖被撬壞
鄰居家有沒有被偷只有小偷跟當事人知道
當事人出來喊冤,說掉了甚麼,那就有清單可以查阿
"難道警察看到狀況就直接下定論,鄰居家有一億現金被偷,然後主動專案處理?"
除非1:鄰居報案列出損失清單,警察才有所本比較好追, 2:小偷白目,上網公布戰績
遠通事件就像黑吃黑,我不認為遠通有多乾淨,自己公布損失清單
所以發球權在有對遠東進行資料"查詢"的人手上
就技術討論,在目前有公布的工具條件下,你的實作計畫到底可不可行啦?公開討論一下啊
回suan2289,
不知道遠通有沒有走EDI,有的話,搞不好有機會在csv看到精采的資料哩
而在此狀況下,csv不是db,而是部分的資料內容而已
會彙整過後再進DB
(1) 原先這個漏洞, dump 出 apache log 有何問題?
(2) 1月以前當時的網頁設計, 你輸入完資料後, 連接的網址會像是這樣
https://css.fetc.net.tw/cws/FETCvtpAcctBalance.do?method=queryList&topMenuId=509&cateId=851&fetcCustId=你的身份證號&fetcLpn=你的車牌&rand=ABCDEF
這樣的格式, 會不會存入 log ?
(3) debug log 如果不是純文字, 那可以舉個通用格式, 聞香一下?
至於挑釁是沒必要的, 這種 server 維護水準, 有能力去弄它的人多的是...
人家跟你談戰略, 還再扯一堆戰技層次的枝末細節, 只會讓人覺得..... ...... .
內文搜尋
從 APP 打開
X