推 s860134: 過度工程 沒必要 39.12.113.190 05/27 09:48
→ s860134: 授權都做好了 還要防使用者竄改 會有這種 39.12.113.190 05/27 09:49
→ s860134: 要求使用者是受刑人嗎 39.12.113.190 05/27 09:49
推 aarzbrv: 樓上想必已精深採購承辦人的王道惹! 70.166.167.55 05/27 12:51
類似的事情我在以前實驗過
許多人事系統其實是沒有後端檢查的
就是看你工位跟工號 然後表單送出什麼資料 後端照收
所以你能做的操作就很多 甚至能夠直接寫同事的工號 替同事打卡
總之這類系統不管是外包還是公司自己寫的 通常都很簡陋
使用者甚至不用什麼駭客技巧(例如sql injection) 稍微有點常識就能辦到
不過我在想有的時候乙方或IT可能也沒意識到會有這類問題
他有這個意識 就不會去當乙方
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 149.88.103.93 (日本)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1779845890.A.F0D.html