这是一个创建于 3101 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天和一个大学师兄通话
他开了一个知识产权代理公司(代为申请专利和商标什么的),公司30多人了
他们找了个外包公司做了一个后台管理系统,
结果我一看,你们猜怎么着?
1 、管理员密码是 6 个 1
2 、联系人和业务案件详细内容,堆在后台,一览无余
3 、这个破系统一看就是用某个开源框架搭起来的,功能残缺,至于漏洞和安全性,简直就更不用说了
我也是射了,实在无力吐槽,而且就这么一坨狗屎,还花了 3 万, 2 个月工期延期到 4 个月。。。。。
现在外包的钱这么好赚么?
PS:搞了半天,这密码是6个1的账号,还是一个超级管理员账号。。。。。
他开了一个知识产权代理公司(代为申请专利和商标什么的),公司30多人了
他们找了个外包公司做了一个后台管理系统,
结果我一看,你们猜怎么着?
1 、管理员密码是 6 个 1
2 、联系人和业务案件详细内容,堆在后台,一览无余
3 、这个破系统一看就是用某个开源框架搭起来的,功能残缺,至于漏洞和安全性,简直就更不用说了
我也是射了,实在无力吐槽,而且就这么一坨狗屎,还花了 3 万, 2 个月工期延期到 4 个月。。。。。
现在外包的钱这么好赚么?
PS:搞了半天,这密码是6个1的账号,还是一个超级管理员账号。。。。。
第 1 条附言 2017-04-24 11:29:30 +08:00
为什么大家只注意到密码的问题?
我来说说我对这个项目的不满在哪里:
1 、说好了 2 个月工期,结果 4 个月完成,那一定是先不管怎么样,先把单子签下来,然后看我朋友这公司对这套系统也不太着急,所以就先拖着,先干其他的活去了,然后最后工程已经延期了开始干,之前最多是随便搞了几下,应付客户,说正在做,其实啥也没做。这个猜测,应该是合理的吧?
2 、既然这业务 3 万就做了,你觉得这外包公司会傻到投入多少人力物力呢?找一个培训班出来的,或者一个实习生,或者刚刚入职的菜鸟,三下五去二,搞了 2 个星期,把某个开源框架的这个外壳修一下,也就这样了。这个猜测,也是合理的吧?因为这个系统目前还不能上传文件。在我看来,这个实习生还不会做上传文件的活。
3 、说到权限管理和数据库安全的问题,当然, 要求做 API ,权限管理,前后端分离,登录二次验证什么的,这些基本的加上去,确实不止 3 万。我也承认吧。
所以,综合起来,就是花了 3 万买了一坨狗屎,但这导致情况更加危险 。
有了这一套垃圾系统,所有业务核心数据,包括客户信息,所有在做的业务全部信息和文件,全都放在网上了,而且是敞开了门随便看的那种。
骗子盗取了信息,给客户打电话;
某个黑帽子直接删库了;
某个竞争对手直接把这公司的所有信息全部盗取了,自己用。
这三种情况的发生概率是不是太大了些?
虽说不能保证百分百安全,但这样搞,会不会太危险了些?
我来说说我对这个项目的不满在哪里:
1 、说好了 2 个月工期,结果 4 个月完成,那一定是先不管怎么样,先把单子签下来,然后看我朋友这公司对这套系统也不太着急,所以就先拖着,先干其他的活去了,然后最后工程已经延期了开始干,之前最多是随便搞了几下,应付客户,说正在做,其实啥也没做。这个猜测,应该是合理的吧?
2 、既然这业务 3 万就做了,你觉得这外包公司会傻到投入多少人力物力呢?找一个培训班出来的,或者一个实习生,或者刚刚入职的菜鸟,三下五去二,搞了 2 个星期,把某个开源框架的这个外壳修一下,也就这样了。这个猜测,也是合理的吧?因为这个系统目前还不能上传文件。在我看来,这个实习生还不会做上传文件的活。
3 、说到权限管理和数据库安全的问题,当然, 要求做 API ,权限管理,前后端分离,登录二次验证什么的,这些基本的加上去,确实不止 3 万。我也承认吧。
所以,综合起来,就是花了 3 万买了一坨狗屎,但这导致情况更加危险 。
有了这一套垃圾系统,所有业务核心数据,包括客户信息,所有在做的业务全部信息和文件,全都放在网上了,而且是敞开了门随便看的那种。
骗子盗取了信息,给客户打电话;
某个黑帽子直接删库了;
某个竞争对手直接把这公司的所有信息全部盗取了,自己用。
这三种情况的发生概率是不是太大了些?
虽说不能保证百分百安全,但这样搞,会不会太危险了些?
 | 1 wwc 2017-04-23 21:07:38 +08:00 不很正常吗,有的为企业用 DZ 搭个论坛还要 5W 呢。 |
 | 2 davidzhanwork 2017-04-23 21:07:43 +08:00 via Android 你以为大企业就好了么? 非互联网行业感觉还是很糟糕 |
 | 3 helica 2017-04-23 21:09:06 +08:00 via iPhone 感觉信息安全市场还有待开发 |
 | 4 visonme 2017-04-23 21:09:13 +08:00 不懂技术的碰上了外包被坑点也是正常的,大多数中小企业不会注重网站的安全问题的。 如果是程序本身的安全问题,作为外包开发者这么轻易的对待,却是对客户太不负责了。 3W 做个后台系统,其实并不贵了,我们团队很多客户的项目也都是基于开源框架打造的,唯一不同我们有形成一套自己的开发框架。 你描述,只能说你朋友真的被人坑了,而且者坑的 3W 有点贵了 |
 | 5 ericgui OP @visonme 用开源框架搭起来,没毛病。但这明显是欺负人不懂技术嘛。你说连一点权限管理的概念都没有,而且这个系统直接连接微信,用户可以直接查询自己的案件的进度等信息。这尼玛连个 API 都不做,直接可以查。太他妈容易出事了。 |
 | 6 echo1937 2017-04-23 21:11:57 +08:00 简单来说,要是你师兄找你签合同,做个后台管理系统,带点简单的售后服务,你开多少钱? 至于安全嘛,我见识过 2 个 500 强, root 密码是第一排+第二排。 |
| 7 visonme 2017-04-23 21:13:04 +08:00 补充下,楼主应该说明下,你口中的安全问题是指程序本身的安全问题还是服务器的安全问题,两者区别是很大的,大多数开发者是只会去处理些常见的程序安全问题,而不会太多考虑服务器安全这块的。 同时很多中小企业不太注重安全是个事实,而如果要做安全,相对成本也高,所以很多企业外包项目,基本都不会在需求中提到安全问题,更多集中在功能性需求上,这点我觉得欧美那边的中小企业会跟注重些,国内的碰过几个基本都是死磕功能的。 |
| 8 ericgui OP @echo1937 这不是钱的事。至少不要把业务信息搞得这么容易泄露出去。超级管理员账号密码是 6 个 1 ,这个后台直接连接微信,用户可以直接查询。好歹弄个可以返回 JSON 数据的 API 啊,然后微信后台简单开发一个小框架,从 API 获取客户数据,展示到微信。对吧,这个思路好歹稍微安全一点吧? |
 | 10 thinkif 2017-04-23 21:15:52 +08:00 光说密码这事儿吧,很多情况下开发商做完后演示的时候都会是弱密码,交付后有点责任心的就会提醒客户一定要改密码,但无论是否提醒客户,客户那边都很少改,有的是因为不知道改,有的是懒得改,他们很多人都觉得“黑客攻击我这么个小公司有啥用”。有时你好意为他设置了强密码,他还会要求改成简单点的吧,记不住。。。 |
| 11 ericgui OP @thinkif 密码弱了的话,对超级管理员是不是可以设置一个短信二次验证呢?反正增强安全性的方案有很多,但这公司基本一点不为客户考虑。纯粹糊弄人。 |
 | 13 gen900 2017-04-23 21:20:09 +08:00 via iPhone 才 3 万?我以为 30 万被坑了呢。 3 万弄个信息系统不用开源框架?自己从头开发一个? 3 万刀也打不住啊。 脱离需求和预算评价软件就是刷流氓。你让人家一个小公司为了一个安全性不那么高的系统上全套安全措施?行啊加钱呗, 3 万刚好够咨询费,实施另算。 再说了一个内部使用的系统账号简单一点说不定是老板的要求呢。你给设个大小写符号数字混合的密码?别逗了。退一万步说,账号密码是可以修改的啊。默认密码是否安全和系统本身的安全完全不是一回事吧。 你认为不合理的事,很可能是最符合客观规律的。不信你试试改进一下 |
| 14 ericgui OP @gen900 这系统,里面包含了全部的客户名单和联系方式,以及每一个客户的专利申请信息和进度。这个安全性要不要提高一些呢? 3 万或许少了,但这也明显太糊弄人 了吧? |
 | 15 MrMario 2017-04-23 21:23:07 +08:00 via iPhone 标题说好了是安全管理,怎么后面扯应用系统开发上去了? |
 | 16 Weixk 2017-04-23 21:24:16 +08:00 这个是不是外包的公司再外包给学生做的。在学校遇到过这种情况,而且价位也差不多的。 |
 | 19 shakoon 2017-04-23 21:26:20 +08:00 楼主看来是没在大企业呆过,哈哈哈哈 |
| 20 gen900 2017-04-23 21:31:05 +08:00 via iPhone  3 |
 | 21 anyclue 2017-04-23 21:34:46 +08:00 国内普遍就是这种现状 |
 | 22 manhere 2017-04-23 21:37:50 +08:00 admin admin666 admin888 admin123 666666 888888 这几个密码基本畅游大部分企业站了 |
| 23 ericgui OP @gen900 你说得对,其实甲方(我同学这公司)对自己的所有需求,没有做到很好的梳理,所以可能沟通也不清楚,现在这破系统还有几个功能没实现。所以我觉得实在不知道怎么说,毕竟我说多了,我同学自己都不懂了。 甲方自己的信息安全意识也是个大问题。他们确实这方面没想明白。 |
 | 24 ivvei 2017-04-23 22:27:08 +08:00 1 密码强度是软件使用者的事情啊,跟开发者有什么关系,又不是不能改…… 东西都堆在后台一览无余多方便啊,哪不好了。 |
 | 25 ZXCDFGTYU 2017-04-23 22:38:35 +08:00 via iPad 1 我司外包业务还在用 aspcms 和 dedecms 等国产垃圾。。。给客户用的项目托管服务器还在用 win2003 ,没监控,没负载均衡,没心跳机制,核心业务的对外接口不做防重放,用户鉴权直接用户名密码和 id 直接 get 到 server 。。提了好几万遍换 linux ,加负载均衡和心跳,领导直接一句不可能上这些因为他不会用就把我怼回去了。 我 tm 能说啥。 哦对了,现在我司正在准备新三板。 |
 | 26 armoni 2017-04-23 22:49:29 +08:00 我还见过某政府系统密码就是 1 位: 1 |
 | 27 UnknownR 2017-04-23 23:35:56 +08:00 某 500 强,非国内,安全做的很到位,但是相对的,各种权限和等级分的巨细,别说是普通用户了,就是我 IT 想要个普通的系统权限,也要审批个几个工作日,去数据中心都是提前个把月申请的,三方确认,中小企业估计很难承担增加安全所增加的成本,费用只是小意思,主要是人员与时间 |
 | 28 darrenfang 2017-04-23 23:54:21 +08:00 via iPhone 我现在做的后台,新用户登录强制改密码...之前口头说完全不起作用 |
 | 29 xiazhi 2017-04-24 00:04:10 +08:00 这系统是很弱,那么做安全的公司能挣到钱么? 什么样的市场就产生什么样的产品~~~ |
| 30 ericgui OP @UnknownR 话虽如此,但这个系统里,有他们所有客户资料,以及正在进行中的业务的资料。一旦被删库什么的,损失挺大。 |
 | 31 lalala2016 2017-04-24 00:20:05 +08:00 via Android 去年不小心弄到了某宝(不是支付宝)的后台路径,鬼使神差的居然碰对了密码,那还是家上市公司,现在的管理员安全意识有多薄弱可想而知了。现在身居要位都不是技术员,想没有漏洞都难。 |
 | 32 wanglaihuai 2017-04-24 00:21:42 +08:00 via Android 中小企业?中铁的报价系统都是默认密码。哎呀我是不是说多了……… |
 | 33 Mac 2017-04-24 00:30:42 +08:00 123456 |
 | 34 qile1 2017-04-24 00:50:16 +08:00 via Android 你们说密码的见过自己系统 ip 地址都忘记得没? |
 | 35 fashioncj 2017-04-24 00:54:04 +08:00 via iPhone 上公网也不一定能发现登录入口。让小企业注意安全。得考虑成本。 |
 | 36 8023 2017-04-24 00:57:25 +08:00 via Android 用户名密码为 admin/admin 的 基于 dedecms 的 企业展示站, 一扫一大堆... |
 | 37 coderluan 2017-04-24 00:58:18 +08:00 2 楼主给你 3w 块,你肯接同样功能的网站吗,然后即使对方没要求,你也会特意考虑各种安全问题? |
 | 39 dven 2017-04-24 05:20:18 +08:00 刚换的号码之前可能是以前有人用过老是受到某家催收机构的骚扰,后来实在忍无可忍了,直接从百度搜到的后台地址 3389 弱口令( Administrator/123456 )进去把除 C 外的盘全格了 |
 | 40 kwlokip 2017-04-24 07:43:32 +08:00 via Android 话说密码不是得要使用者自己改的吗 |
 | 41 rssf 2017-04-24 08:51:02 +08:00 via iPhone 老板压根不重视安全,一分都不想给安全投入,底下的人重视个毛 |
 | 42 BoiledEgg 2017-04-24 08:51:17 +08:00 1 才 3w ,还做了 4 个月,那个外包公司也是亏了。 |
 | 43 firefox12 2017-04-24 08:55:27 +08:00 via iPhone 这件事最大的难度是 你要能找到一家需要用开源软件搭系统的企业,并且把你的产品以 3 万块的价格卖给他。技术在这里大概只占了 10%。而且绝对是可替换掉。能说服企业买你的产品才是最重要的。 |
 | 44 meisky6666 2017-04-24 09:20:05 +08:00 @dven 稳! |
 | 45 linxl 2017-04-24 09:24:48 +08:00 这是一个双输的外包项目 |
 | 46 chairuosen 2017-04-24 09:25:25 +08:00 上家公司生产环境的 jenkins 放在公网域名上并且没有密码。。。。。 |
 | 47 riverphoenix 2017-04-24 09:29:12 +08:00 其实我觉得你说的这个问题,可能根本不在人家的考虑范围 |
 | 48 goodniuniu 2017-04-24 09:33:29 +08:00 3w 搞 6 个月,人都给搭进去了。。。 |
 | 49 lusheldon 2017-04-24 09:42:29 +08:00 via Android 密码是可以改的,管理员密码肯定不是开发者决定的。后台内容没有隔离,那是用户自己没有提这方面的需求,用户自己不了解需求,难道指望开发者想到这个?如果提了需求,至少再怎么 ugly 的方式开发者都会尝试 |
 | 50 webjin1 2017-04-24 09:58:05 +08:00 3 万没毛病啊。 3 万块现在北京都买不来 1 平米。至于密码弱那是小事,正式上线交付,修改个复杂的。 |
 | 51 BearD01001 2017-04-24 10:09:41 +08:00 密码不是应该是使用者自己设置的吗? 这也能甩锅到开发头上- -|| 3 万块,换做 LZ 你会在已经满足需求之后,还会考虑那些也许人家根本就不 care 的安全问题吗? 之前没搞前后端分离的时候后端语言之间套页面也有的是,现在许多不也是一样好好活着 设计 API 也未必能变得安全,开源也不该是槽点吧,开源 = 廉价?何况二次开发也是劳动 对于买方来说,需求就是实现某某功能。安全?这种东西除非有过血一般的教训,否则:安全?那是干啥的,能增加多少个用户,能带来多少流量?不能?那搞他干啥  |
 | 52 alexfei 2017-04-24 10:13:25 +08:00 1 将道理定制开发的话 3w 不贵啊 一线城市码农一个月薪水都不止这个数呢 |
 | 53 Hardrain 2017-04-24 10:15:03 +08:00 还有这种密码 12345!@#$% 基于键盘布局的都不安全吧... |
 | 54 rswl 2017-04-24 10:29:42 +08:00 这密码又不是不能改,交付的时候都是默认简单怕客户忘记了 至于说 3w 值不值,对比下功能你自己做一样的你让他付你 3000 才算划算吗 |
 | 55 flyingghost 2017-04-24 10:33:19 +08:00 1 为什么是 6 个 1 ? 因为那是用户自己设的。 为什么数据库里密码明文不 hash 不加盐? 因为用户经常忘记密码打电话来问。 为什么不用密码找回功能? 因为他们的邮箱密码也忘记了。 sigh 。。。有时候,有些问题真的不能怪开发。 |
 | 56 SourceMan 2017-04-24 10:33:54 +08:00 密码不是可以更改的吗? |
 | 57 kemikemian 201704-24 10:35:48 +08:00 楼主,你开发的时候会用一个复杂密码,测试的时候一遍遍输入???? |
 | 58 chemandy 2017-04-24 11:10:01 +08:00 3 万的价钱, 30 万+的要求... 就那点钱,完成业务逻辑,能用就好了,不能要求太多 |
 | 59 surv2ex 2017-04-24 11:17:27 +08:00 3 万,要啥自行车 |
 | 60 fengfisher2 2017-04-24 11:40:29 +08:00 很多公司都这样+1 |
 | 61 neroxps 2017-04-24 11:44:43 +08:00 至少我见到的企业,对数据安全甚至是密码安全一点防范都没有,例如金某的财务软件,用某的财务软件,在部署的时候统一的 sa 密码( MS SQLServer ),用户各种简单的管理员密码(公司电话)。 行政部门基本上都没有对信息安全做过重视(特别是密码安全)。 一些企业如果有专门部门管理的会好很多,例如中外合资企业,有专人管理,企业内布置 AD 集中管理的会好很多。 前阵子方程式爆的那个漏洞,敌对企业真想搞你的黑材料,简直太容易,那个笔记本走到公司附近的 wifi ,社工一下 wifi 密码。中小企业基本不更新 windows ,要怎么捅就怎么捅。 我这里是三线城市。 99%中小企业没有专业人员管理企业内部的信息安全。有的老板想看看员工上班干嘛,就买台深信服放在那里,算是企业信息安全咯。 而且这些老板根本没有意识,我觉得只有教训才能让他们觉醒。 |
 | 62 muzuiget 2017-04-24 12:25:35 +08:00 楼主还是太年轻了,很多时候不是技术问题,而是需求问题。 |
 | 63 Tunar 2017-04-24 12:33:10 +08:00 一些政府机关也是,,,无脑注就能进管理系统了,,比如之前进过一个政府车辆信息管理系统,,,,,, |
 | 65 GPU 2017-04-24 13:12:22 +08:00 楼主让我们团队帮你重做吧 。绝对不是用开源的框架哦 |
 | 66 lycos 2017-04-24 13:58:21 +08:00 现在很多企业都么有安全意识的 |
 | 67 marlboros 2017-04-24 13:59:14 +08:00 看到楼上一些 V 友在互相推脱责任,我们做黑产的打心底高兴!!! 2333333 。 |
 | 68 panlilu 2017-04-24 14:02:50 +08:00 我觉得用开源的挺好啊,自己改起来也方便。。 |
 | 69 wh6mai 2017-04-24 16:02:24 +08:00 不要和低端产品谈质量,也别和高端产品谈价格~~~ |
 | 70 Jimrussell 2017-04-24 16:18:47 +08:00 拿 java 来说, oa 最核心的工作流引擎只能拿来那几个开源的弄,而且还不一定玩得 6 。培训班出来的绝对搞不定。 然后就是比如 apache 的全家桶里的安全相关那些轮子,整合的好,安全性还是很强的。我不觉得原创的安全模块能和它们比,当然培训班出来的基本上也是玩不 6 的。 所以说, 3w 买来的 oa 确实是狗屎,不过就这点钱也只能买到这种程度的狗屎。 |
 | 71 dee 2017-04-24 16:30:17 +08:00 上一家公司,老板被一个刚入职的产品忽悠,花 70w 买了个 oa ,买来还不能直接用,夸海口 2 周上线,又招 java ,开发了半年,第二年过完年,这哥们就闪人了,走时 oa 还没上线不能用 |
 | 72 rocknjoekudo 2017-04-24 18:03:43 +08:00 安全性从来是这类面向中小型企业工程的一项次要考虑…… 见过某所谓上市餐饮软件企业还在推荐客户们用 Microsoft SQL Server 2000 来当做数据库软件,并且密码明文存储…… |
 | 73 root9000 2017-04-24 18:29:19 +08:00 因为他们有钱没文化 |
 | 74 Khlieb 2017-04-24 19:00:15 +08:00 关键不在于公司本身,而在于负责这方面的人 |
 | 75 JerryCha 2017-04-24 21:24:06 +08:00 多数人还是记不住密码的 当然我还见过密码是 SpicySushiRoll15!的,好奇他们维护的时候不会肚子饿么 |
 | 76 nanpuyue 2017-04-24 21:36:32 +08:00 楼主,要学会见怪不怪。 |
 | 77 wontoncc 2017-04-24 22:14:45 +08:00 via Android 身在国企,信息安全很多方面都不堪入目。已经见怪不怪。 |
 | 78 slert 2017-04-24 23:06:21 +08:00 3 万好便宜啊。现在两三天弄出来的所谓 h5 都能给你报到 10 几万。 |
 | 79 run2 2017-04-24 23:50:41 +08:00 强密码+2FA 最好,可是最终用户会用么-。- 客户+开发商都不重视的结果 |
 | 80 WildCat 2017-04-25 02:25:53 +08:00 SMEs 能活下来就不错了,信息安全的问题绝对是比较次要的。一些东西 just works 就好。 Disclaimer: An owner of a very small business. |
 | 81 yumijie 2017-04-25 07:36:56 +08:00 粗制烂造太正常了. 你不粗制滥造,精心雕刻你赶不上别人的步伐,这都是竞争分为造成的,没有版权,品牌法律性保护(法律条文保护但是执行虚空),等等因素造成今天这样局面的. 只有政府重视,社会重视知识产权保护,很快就会扭转这样局面的,但是你懂得.......... |
 | 82 libook 2017-04-25 08:46:15 +08:00 要是有个技术合伙人把关就好了,外包有时候很坑人。 |
 | 83 tedzhou1221 2017-04-25 09:28:49 +08:00 想搞安全,这才是大坑。 |
 | 84 tausi0661 2017-04-25 09:38:42 +08:00 keypoint 是你师兄好吧? 为什么只花 3w? 3w 现在是什么概念啊? 1 个人一个月的工资成本... 好比你花 100 块钱买了个手机, 现在我开始吐槽这也能叫手机? 不能装 qq 微信, 不能设置铃声, 电话本居然不能同步... |
| 86 ericgui OP @slert 其实不是钱的事。也就是说, 3 万买了一堆狗屎,还不如不买。把业务都搬上网了,看似方便了,但让业务数据都 暴漏在危险中。 |
 | 87 mobyride 2017-04-25 10:32:42 +08:00 是这样的,中小企业追求眼前利益最大化,系统能正常跑,根本顾不上其他情况, bug 都来不及改,别提安全问题了。 |
 | 88 elarity 2017-04-25 11:44:59 +08:00 如果让 lz 来做这个外包,能都做全乎,我就服。 |
 | 89 hiwower 2017-04-25 13:00:58 +08:00 1 楼主没见过钱。 3W 定制个项目,这算贵? 现在杭州,上海工资都是 1 万起, 2 万就只管 1 个人 2 个月。真心不算贵。 |
 | 90 gemini767 2017-04-25 13:06:15 +08:00 1 3w 的项目 能有啥安全可以考虑的,又不是 300w 3000w ,一年证书都要 5k 呢, 3w 能干啥 |
 | 91 xuhai951753 2017-04-25 14:20:36 +08:00 1 按上海一个月的工资算,一个前端+一个后端+一个美工就大于 3w 了讲真。 |
 | 92 erevus 2017-04-25 15:43:51 +08:00 穷人需要钱包吗?不需要 |
 | 93 loading 2017-04-25 15:51:34 +08:00 via Android 我免费写的可能都比很多小企业的强…… |
 | 94 aev2ex 2017-04-26 10:40:00 +08:00 讲道理, 3w 不贵,而且,登陆密码的复杂度跟整个系统的安全性几乎没有关系 |
Select Language