samiux.github.io

Infosec Ninjas 资安忍者

View on GitHub
Home Projects Articles Apophthegm About

《手帶 app 有幾安全?》一文之閱後感

手帶 app 有幾安全?

剛閱讀完這篇文章,並發現其文章有誤導和帶有哇眾取寵的成份。還以為真的有甚麼安全漏洞被發現,而只是無病呻吟吧了!

首先,該文作者搞不清甚麼是漏洞、甚麼是危機。該文作者只是假想孟加拉開源碼開發者如果得知香港政府使用其程式碼,他可能會對其開源碼作出惡意行為。這只可算是危機,並不能看作漏洞。而且不是所有人都是懷有惡意的,而且更誤解了甚麼是開源程式碼的含義。

其後,該文作者建議到可信的網站或來源下載所需要的程式碼,這裡所指是 JavaScript,並且也下載孟加拉開發者的開源程式碼作本機(本地)使用,以免被有心人士所利用。

這建議表面上看似很有道理和合邏輯。但在程式碼更新問題上有可能出了問題,如果開源碼的開發者,也包括所指的孟加拉開發者,在其程式碼上收復了錯誤、安全漏洞或改善效能等情況時,下載到了本機的程式碼就得不到其即時的更新,如要得到其即時的更新也要耗費大量的資源,其危險程度更高於直接使用第三方的程式碼很多倍。

其實,直接使用第三方的程式碼在開發、維護、和資安領域上對軟體有一定的優勢。

至於其所謂「跨站腳本攻擊」(Cross-Site Scripting Attack,XSS),我從其示範的影片中看不出來。雖然我並沒有對該軟件作出滲透測試,但其在影片中示範的更改,我抱有懷疑態度。因為所有程序編寫員都知道要在客戶端和伺服器端作出驗證後才處理數據的,尤其是處理 JavaScript 時。那些畫面有可能是在代理(Proxy)後面而未被送到伺服器前時攝取的(即只在客戶端時)。該文作者未免太小看香港的程序編寫員吧!

隨後(在二零二零年三月廿八日凌晨),其在該影片(YouTube)的文字簡介中更新為該漏洞已被堵塞。我更奇怪政府如何堵塞呢?真的依照該文作者的建議下載程式碼在本機使用?

最後,想必該文作者不是開發人員或資安人員,又或者不是開源的支持者,才作出這個建議和評論。

Samiux
OSCE OSCP OSWP
二零二零年三月廿八日,中國香港

資科辦澄清

補充(二零二零年四月四日):

該文作者的網站 tecky.io 及另外一個副域名 code.tecky.io 存在被攻擊或入侵的風險。而副域名網頁又太過倚賴雲端網頁防火牆 (WAF)。這進一步引證該文作者並不是資安人員或成熟的網站開發者。

Home Projects Articles Apophthegm About