BKAV bị hacker thịt, lộ sạch bách mã nguồn, sạch bách dự án, trở thành món hàng bị đem rao bán

Mình vẫn xài JDBC raw query đây, có thấy vấn đề gì đâu? Code chậm hơn tí bù lại linh hoạt hơn trong rất nhiều vấn đề. Chưa xét đến vấn đề dự án viết năm nào, ví dụ ra đời chục năm rồi thì tất nhiên không ai đập core đi làm lại cả.
Tất nhiên để bị SQL injection thì cũng ko có gì để bao biện, tuy nhiên cái kiểu quan điểm dự án nào không dùng công nghệ 2021 là chê lạc hậu thì không đồng ý lắm.

 

Thực ra orm hay k ko fai vde, miễn kết hợp các pp như chống escape character, ko dùng input trực tiếp mà thông qua param thì vẫn ok, mà đống pp này là MUST apply rồi nên bkav nó ngu thôi
Ko fai lúc nào cũng có thể dùng orm, crud đơn giản thì dễ chứ sql phức tạp mix nhiều điều kiện thì dùng raw sql vẫn dễ dùng hơn nhiều

 

Giờ bất kì hệ thống gì mà liên quan đến business 1 chút đều có yêu cầu đặt pass thế này. Cũng chả cần phải có mind set về security mới biết. Có khi BKAV có mỗi cái function validate pass dùng đi dùng lại hết từ sản phẩm này đến sản phẩm kia

 

Cái ông nghĩ ra cái rule này giờ hối hận đó password mạng là password đủ dài chứ mấy cái trên chỉ làm pass khó nhớ hơn thôi

 

Thì thực ra vđề ko phải ở sử dụng raw query vì thực tế là nhiều trường hợp orm ko thể đáp ứng hết dc, ví dụ như union rồi custom query, view vủng các kiểu. Nhưng mà vấn đề là phải valid input ý, thì nó méo thèm luôn. Rồi pass cũng ko thèm mã hóa. Thật xứng danh là cty bảo mật hàng đầu thế giới

 

công ty bảo mật đầu hàng thế giới

 

Xoá Bluezone đc chưa anh em :v

 

Những cái rule pass kia nó nằm trong req mẹ rồi không làm test lead nó chửi cho thối đầu, còn Sql inject không phải chuyên test sec thì không biết được.

 

Éo thể tin được, SQLi luôn. Vãi đái, mang danh 1 công ty lớn.

 

Chắc là ta quen viết ORM, nhưng ý ta ở đây là tách riêng phần truy xuất db ra, hạn chế dùng raw query trực tiếp, vì nó khó kiểm soát, nếu cần sửa đổi gì nó lại khó.

Ta được share 1 đoạn code như thế này, nếu nó là đúng do bên bkav code thì đúng là không thể nào đỡ được luôn

 

Đúng bruh ơi, mình càng có tuổi càng lười, chỉ muốn xài orm cho nhanh. Nhưng có mấy thằng khách hàng củ chuối, toàn xài store hay có query nó dài gần 1 nghìn dòng thì orm bất lực luôn

 

rule kí tự đặc biệt với số má là chuẩn rồi, để tránh tấn công từ điển, dài hay ngắn gì thì từ điển nó đâu có care.

 

eo nối chuỗi

 

Cái hình Quảng bom rút phích cắm khỏi sợ bị hack là thật ah .

 

Cái rule nhảm nhất là dăm tháng lại bắt đổi pass 1 lần và pass mới ko đc trùng với bất kỳ pass cũ nào. Đm, não người nhớ thế mẹ nào hết đc cái mớ pass đấy, xong quên pass với nhầm pass là dễ hiểu

 

còn đầu nào thì ko nói

 

Vd đặt Gvn@0821
Tháng sau đổi thành Gvn@0921
Ez mà

 

Thật như bạn còn trinh vậy.