BKAV bị hacker thịt, lộ sạch bách mã nguồn, sạch bách dự án, trở thành món hàng bị đem rao bán

https://www.facebook.com/groups/vozz.vn/permalink/578036669885444/

 

ko tôi đang bảo là ko ai kiểm tra kiểm soát bọn bkav khi làm phần mềm cho chính phủ như thế ấy, chả lẽ cứ làm xong trả tiền rồi cho chạy như lắp cái xe thiếu ốc thiếu dây vậy à

 

Mấy ông bên bộ biết review code đéo đâu. Ù ù cạc cạc nghe Quảng chém sao nghe vậy thôi.

Cái này phải có bộ phận độc lập chuyên kiểm thử. Mà NN dev toàn cocc trình cũng chả hơn BKAV bao nhiêu đâu

 

Đọc bên kia thì toàn bộ sản phẩm do hàng nhà trồng được nên mới bị đó Xài 1 cái fw web nào đó thì mấy cái này fw nó đã tự động xủ lý cho rồi, đéo bao h bị dính
Cái thời 2011 mình bắt đầu đi làm thì hầu như các fw web chỉ cần để annotation ở input field là nó tự xử lý cmnr
Mà confirm là password của BKAV để kiểu này là để plaintext hoặc encryption 1 lớp đơn giản chứ ko có hash gì đâu Hồi đó kì VNG bị hack để MD5 đã bị chửi, giờ nhìn BKAV thì dcm ... cạn lời

 

Pass của ta đợt trẻ trâu là chữ cái đầu của 1/2 bài hát ta thích. Để dài quá, gõ nhầm 1 cái đếch biết sai chỗ nào . Sau chuyển thành 1 câu cho ngắn kèm shirt, nhưng mỗi lần gõ đều phải nhẩm câu hát. Giờ để đồng bộ hết, bảo mật 2 lớp bằng sđt nên chẳng cần phải gõ nữa.

 

Nhìn code thì sure là plain text rồi, encryption thì cần 1 lơp thôi chứ nhiểu làm gì. Quan trong 1 lớp đó có mạnh không thôi.

 

Ngày xưa cày võ lâm để pass là 123456 cả quán net đều biết nhưng đéo ai dám hack, vì cái nick cùi bỏ mẹ toàn dùng để giao dịch rồi out. Nick cày thuê pass nó chuẩn chỉ như yêu cầu của bây giờ luôn

 

Bản thân mình vẫn nghĩ lỗi SQLi lần này của BKAV là xui xẻo. Chắc xuất thân là web nội bộ, các anh cũng tặc lưỡi cho qua. Cho đến khi dịch dã kéo dài, phải wfh nhiều nên các anh public luôn nó ra internet. Không may bị hack, kiểu gót chân Achilles

 

Bạn chơi net toàn dắt dao trong quần thì ai mà dám hack

 

thay vì thách nhau bằng code , các anh bkav sét kèo thỏ trắng

 

Đầu tiên là tui ko có nói gì liên quan "ko phải lỗi implement" cả.
Tiếp theo, việc bắt buộc vừa phải có viết thường + viết hoa + số + ký tự đặc biệt + số: ko phải password nào cũng đòi hỏi như thế cả. Chỉ sau này một số business dạng enterprise hoặc bank thì mới strictly cái này. Hoặc nếu xài framework thì một số framework sẽ support việc kiểm tra này.
Xét về ngữ cảnh: có thể cái codebase này lâu rồi, người viết đoạn code này có thể nghĩ tới việc "làm sao để password nó bảo mật" nên đặt các rule trên, nhưng cũng là người đó lại ko biết về "sql injection" hoặc chủ quan về nó.
Một ý cuối cùng, mindset và skill đôi khi ko nằm cùng level, có mindset tốt, và nếu có gia tốc lẫn tư chất thì kĩ năng mới tốt lên được. Và post trước tui chỉ nói tới mindset thôi.

 

Pass của mình là mình viết ra cái note hết. Nhưng mà encode cái pass trong đấy rồi

 

Nó còn ko phải hangd tháng. mà tháng củ k nào đó nó kêu hết hạn. Mẹ éo đổi pass ko ai nhớ đc cuối cùng phải đặt pass dễ nhớ dễ đoán như trên thì giải quyết đc éo gì.

 

Thằng chủ quán yang hồ real đó pạn, cày thuê cắm chốt ở quán đó bao an toàn

 

My password:
mov ecx,msg

 

Làm bảo mật mà lỗi thế này là bất cẩn thôi chứ xui gì. Thằng lính thì hay xuề xòa nên mới đẻ ra các tầng quản lí review, check tới check lui. Làm hàng cho chính phủ mà kiểu tặc lưỡi cho qua thì bị đá đít là đáng.

 

ở đây tôi nói về chuyện mindset thôi, tôi không nghĩ code ra những dòng đó - và approve cho nó lại có mindset. Nói về cái rule password thì nó cũng khá phổ biến, chắc lại học ở các chỗ khác rồi áp dụng vào.
tôi đưa requirement input - output, nó code ra xong rồi tôi check nó làm y chang, vậy tôi đánh giá nó mindset tốt hay xấu? Về cá nhân thì tôi thì ko trả lời đc, chỉ đến khi đọc code nó xong rồi mới biết tốt hay xấu, và đọc vào code nó implement thì mới biết trình nó mèo mửa như nào .

 

Giả sử requirement của ông ko có ghi là phải chặn sql injection thì nó éo chặn, sao lại chửi nó implement ngu?

 

Bởi tôi mới chửi cả thằng sếp ngu.
Code này của sinh viên ko ai chửi cả, nhưng thằng mà cho phép code này chạy ở level production thì đúng là ngu bại, mà nó ngu bại đòi hỏi gì được thằng đệ nó có “mindset”
Nếu trong ngành mà thở ra câu ““requirement không ghi chặn sql injection” thì có hơi ngu thật đấy. Như đã nói trừ sinh viên chưa có kinh nghiệm ra chứ ai đi làm mà ko biết cái này mà phải bỏ vào requirement.