关于开后门
背景: 本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。目标: 想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。技术栈: 后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。 疑问: 需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。 还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
补充:1.本人负责的系统属于外围系统,只是展示性的,不涉及账务相关的操作,也没有客户的数据。2.之所以追求不走申请是因为有些小问题不想让领导知道,大问题肯定还是该走流程就走流程。
建议不要作死,一切都按流程来。
给银行生产数据库开后门,刑啊
下次上新闻的是你没跑了
既然银行有规定的申请到操作流程,那么任何紧急时候的不方便都不是你的责任,你开个后门“更快地”完成什么任务对你也没好处,建议别觉得自己很刑
只开数据库不够方便,建议直接把内网和互联网打通,在家也能操作服务器和数据库。当然了,这个事只能中午做。
银行是你的吗?早点修好 bug 多赚钱到你口袋里了吗?
震惊,银行手动改 PROD 环境数据。OP 待大银行(用的人很多),还是小的(地方性)?
你要改的是什么数据,敏感吗,涉及到金额相关吗
其实吧,哪用得着自己造轮子。我见过有些外包厂商的产品(还是全国最大的几家)就有类似可以执行 sql 的后门工具给管理员用,有些是直接可以手输 sql 就干了,有些是配置报表、指标的 sql 来查数据。所以你先找你那个系统的开发商问问,大部分 MIS 都能给你惊喜。交易系统倒是这种不多见,厂商自己也知道风险太高。
楼主不要太激动,忘说一下这么做的后果。员工有被直接开除的,厂商有被罚到整个项目一分钱都没收到的。你自己斟酌哟
想起一部电影,偷偷的把每银行账户的 0.001 元转出来给你
你这手动改线上 DB ? 慌的一批啊,还是银行。。 真刑
是的,现在这种出了问题报告里面可以直接写 "考虑到信息安全因素因此业务部门修改生产数据需进行审批,审批流程较长且缺乏紧急事件的应急响应机制导致业务恢复时间较长" ,到时候开个后门这些话没准就得留到法制节目上说了。本来计算机相关的罪名入罪条件就极其宽松,恨不得在重要系统或者用户量极大的系统上写个 Bug 都能擦上边,开个后门恐怕只会加速计算机从入门到阶下囚的进程。
可刑性非常高
好几年前真有个老兄这么干过,好像一个超市的哥们,把结帐时四舍五入的部分腾挪到自已帐户里,后来不知怎么曝光了
感觉越来越离谱了。。。。从讨论怎么上班时间远程打卡到怎么开后门修改银行线上库真刑
打算蹲几年🤷
刑啊,这日子是越来越有判头了
之前在天津某银行干过外包 生产服务器 oracle 密码是 abc123456 (就是进机房要安检
换个小公司就行啦,不用费尽心机开后门,正门都能随便走,还不会有职业风险
按正常需求-开发-测试标准流程下来,无论大小问题也不是你的责任,经常出现意想不到的小问题 leader 顶多也就是觉得你还该提高,但你确实也应该提高细致一些,似乎没啥问题吧,你这么搞收益改善 leader 印象和开除入刑的风险也非常不对等了吧,实属没必要如果非编码和外部依赖系统问题经常会有小问题需要处理,那恰恰说明你们系统设计还需完善,那你提建议从需求开始走岂不正好是证明你能力的时机
黑客最喜欢你这样的开发者了,以为外围系统➕小问题所以问题不大。
如果岗位比较稳就不要做这些高风险操作
想死
不要作死,走流程
^_^
黑客:就喜欢你这样的自作聪明
你是哪个银行,我以后避免在你行存钱
不是,就算你开了后门,你在数据库里的操作不会被记录的吗?
不做不死,做了就死。一切按照流程走
不作不死,你可能觉得流程很麻烦,但是关键时候流程会保护你的安全
吃饱了。
我一直强调,某些技术人员不要只会写着怎么写代码,也要经常地(战术性停顿)考虑实际情况,不要过分地(再次停顿)高估自己。
银行招你这种没脑子的?
流程走得慢,没事,慢就慢点,出了问题不会被开。你要是留后门,出了问题你得蹲大狱
可知合规两字怎么写,
报公司名字吧,不想信息被黑客拿走做社工库
后门开的欢,牢饭吃到饱。
展示的数据没有审批却变了,真·光速作死
怎么区分大小问题 ?
别作死...人审计的时候可不管你系统是不是外围得
谁做的规定谁负责,怎么?这么烫手的黑锅你要主动背?
你就说你想蹲几年吧
我非常的奇怪,你们这些在大厂的程序员,如此的没有法律和安全常识吗?没有就算了,对自己可能入狱的行为也没有一点敏感吗?
紧急访问批不下来关你屁事😂
hhh 因为早晚会出事是吧
程序员——从入门到入狱
我有个朋友还真这么干过,他们也是银行的非业务系统,和你一样的想法。最近被行内安全处的监控扫出来了。只能说有风险的。真要做就得设计好,通过加解密等方式规避监控。要么就老老实实提高项目组的投产变更质量。
别给自己找麻烦 管他什么大问题小问题,有啥问题找领导,出问题不用你背锅。
加强沟通即可。。你是怕 bug 没修好让领导觉得你能力不行么? 还是领导都觉得烦了让你来背下锅?这说远点,领导就算不想这么麻烦也理解你,但是从用户角度看是否也算数据泄露?如果谈到数据泄露,不管你是领导还是你都得去问问话吧??最后你觉得是谁背着锅好看?
就算业务系统出问题,因为权限批不下来耽搁好多天,关你 P 事?何况非业务系统
自掘坟墓🪦
你这很刑
先装个 frp 连到阿里云上看看。。。
什么破银行,绕道走
银行你就按流程走呗反正也不会开了你不按流程出问题就不好说了。
现在监狱的伙食很好了吗?这么想进去。
后门开的好,牢饭吃到饱
楼主的工作态度真的太刑了。公司在收紧管理下,还留恋快速开发修复问题。
敬佩楼主的工作态度,判刑了还请 OP 托亲友来 V2EX 发个帖,我们会去看望你的
我也这样干过,不过都是紧急时候使用,而且还会再套一层 vpn , 不过我那系统也就几百人用,只有数据流,不涉及资金流。我倒是不用申请,因为我就是管理员啊,疫情期间很傻很天真,把自己电脑映射到了外网,远程办公,结果不到半小时就被攻破了。 电脑老掉线,还以为是网络卡,结果是多人轮奸我的电脑,用户还建了好几个
刑啊,op 你的想法真的很有窗意。
没必要,按流程化来就行了,少做少错,保住工作 ; )
Runtime.Exec()
magic api ,满足你开后门的一切幻想
你敢把这事直接和领导说,让领导批准吗,领导都不会同意的事情,不要去做
弄个 sql 审计系统。
流程多,繁琐是保护你啊有事不用自己背,不是挺好的
啊,这……别作死,流程长,好摸鱼啊
我知道你想做啥,但不建议,不要为了自己明面上少错误干大错误的事,还有就是,一旦有后门,你的小错误会越来越多
我看刑!给你的脑洞点个赞
曲线救国是吧
感觉像是个刚毕业的小年轻啊?如果 OP 是 25 岁以上的人,那你可得好好反省自己了,这么大年纪可别再幼稚了
别找死,开了你必后悔
想蹲几年?
刚从互联网转过来的?金融 IT 合规你是一点都没学啊,审批流程长关你什么事了,好好打你的工吧,真是闲的
骚操作是真的多啊,牢饭吃到饱。
银行管理这么差的?连互联网公司都不如啊。。。op 你说下什么银行
V 友们都被你钓成翘嘴了
还不删帖? 能问出这种问题也是没谁了,真就法盲 a
写个可以执行 sql 的接口
看到第一句就震惊了。。。哪怕是几十人的小公司,也不是谁都能有权限修改数据库的吧。。。这还是银行???这下也就不难解释存在银行的钱说没就没了。。钱没丢才是不正常的嘞!!
正常公司走审计平台变更 DML 和 DDL, 推荐 yearning
既然银行已经给出了安全管理规范,就要按照这个来。别想着开后门,不然以后万一出问题你肯定是要背锅的,即使你离职了也一样可以拉你。而且银行都不急,你急个啥
别作死,老老实实走流程,流程不是约束你,是保护你的!
如果真得不是什么重要数据,那么让 DBA 直接开个限制权限的账户,不但更安全,还更好用。
我看刑!本来修点小故障,如果因为领导没有及时批准,也就晚几天修复,延期的责任也在领导头上。最多就是领导被审批搞烦了,抱怨几句怎么这么多故障。现在好了,大事小事真有个临时工背黑锅,领导高兴惨了!
v 站不能删帖
真刑啊,这种事情只要被发现丢工作都算轻的流程长就等等咯,让自己休息一会
我的建议是,不要留后门这种一眼就能看出目的的东西。
你要知道,开后门这种直接是破坏计算机系统罪了,入刑的。
建议把后门改成程序漏洞,毕竟程序开发时的漏洞是无法避免的,而你如果故意留一个你知道且可以利用的漏洞,那么就算未来这个漏洞被发现了,也只会当成安全问题被修复,而不会被怀疑到开发者的身上。毕竟 CRUD 这种后门一旦被发现,它的意图还是很明显的。如果是程序漏洞的话,你这个漏洞不能太弱智、太明显,需要尽可能延长生命周期。当然了,你如果因此凉了,就不要怪我了(我没做过,只是给你提供思路)
禁止做的事情,建议就是不要做。轻则开除、吃官司,重则老板报警给你留案底。引用师爷的话:不能拼命,拼命还怎么赚钱?
不要做如果因为流程太长导致你任务完不成不是你的问题不要乱动程序严格来说犯法
😨OP 就这样向往牢狱生活?
不管是不是展示性的,但凡你系统被 getshell ,直接就可以内网漫游,你是真的想吃国家饭啊,6
有 bug 导致生产事故你遵守流程制度操作,你的直属领导能担 50%的甚至更多的责任。如果留后门或者隐藏接口被抓到你就是 100%的责任甚至连带刑事责任
你不知道现在所有系统都是要走漏扫的么,真扫出来了你可跑都没法跑
刑啊,这日子越来越有判头了
用不着这么“敬业”吧。。。
论文写一半,latex 突然报错了,也没有加宏包什么的,后来发现模板也报错了,但之前都是好的。 19: Undefined control sequence. \ExplSyn…
本小白程序员是写 java 的,但是工作了多年,用到真正的面向对象技术的机会比较少,所以去年自己做了一个面向对象的简单 demo 项目。 zhuanlan.zhihu.com…
结对编程(Pair-Programming)可能是近年来最为流行的编程方式。所谓结对编程,也就是两个人写一个程序,其中,一个人叫Driver,另一个人叫Observer,Dri…