→ kvjo: 你這心得 顯然對資安跟專案成本沒有sense 10/02 10:12
噓 seedli: 銀行App出現漏洞可不是100萬就能擺平的 10/02 10:18
→ laputaflutin: 100w測你金融的app,還不知道有誰願意擔這個責任勒 10/02 10:27
→ hidog: 真的出包,賠償金額有機會破千萬甚至上億元... 10/02 10:27
噓 SuperCry: 都超過百萬好嗎。然後很多檢測是根本沒能力不懂怎麼檢測 10/02 10:41
→ SuperCry: iOS 做心酸的 10/02 10:41
我就做過銀行的app沒超過百萬還要送測的啊XD
不過送測試銀行端自行送測我不知道價錢就是了
只會收到測試回報
→ elements: 新聞想讓你覺得官商勾結,但以你的專業你真的認為不值 10/02 10:57
→ elements: 這個錢? 10/02 10:57
噓 femlro: 有點Sense吧 很多檢測設備都比製造設備貴6倍 10/02 11:02
→ femlro: 寫自動化測試的Code 要有製造知識 真的測起來比寫Code還難 10/02 11:02
※ 編輯: tw689 (210.64.53.9), 10/02/2017 11:11:18
→ ssccg: 不要說送測,有的還會買開價幾百甚至上千萬的保護工具 10/02 11:25
推 pttuser: 可能是跟後台一起測吧,只測app是要測啥?測pocket injec 10/02 12:09
→ pttuser: ted,flow security還說得過去,妓者無知當然只會說測app 10/02 12:09
推 now99: ssl1.0先關一關吧 10/02 12:18
→ now99: tls 10/02 12:18
→ ChungLi5566: 內部就有白箱跟黑箱工具在掃弱點了 10/02 12:43
→ ChungLi5566: 請外部來測 要clone完整的環境 給它測 10/02 12:44
→ vswillie: 曾經聽過某個廠商掃政府的web,只是用工具掃一掃 10/02 17:00
→ vswillie: 把工具的報告改成自己公司的style,結案 10/02 17:01
→ ssccg: 用工具掃沒什麼問題吧,如果合約就是這樣就可以的話 10/02 17:34
→ ssccg: app檢測現在通常就是指依工業局行動應用App基本資安規範做 10/02 17:38
→ ssccg: 的吧,直接測正式版 10/02 17:39
→ alog: 你只算到你自己的部分 當然會覺得不用到到百位數. 10/02 21:45
→ alog: 檢測這種看你是單純掃描討報告 還是給人家玩真的 10/02 21:46
推 leicheong: [把工具的報告改成自己公司的style,結案] 這在我的 10/02 21:56
→ leicheong: 前公司也一樣. 我用我的經驗補上一些工具沒測出來的 10/02 21:58
→ leicheong: 漏洞(主要是邏輯上的)時還被罵「別多事」呢... =_= 10/02 21:59
→ vswillie: 掃出來弱點就請各系統的建置商改,改完後承辦人問 10/02 22:08
→ vswillie: 確定都改完了厚,你們怎麼驗證沒問題了 10/02 22:08
→ vswillie: 因為我們知道他用哪套工具掃,我們改完再掃一次就ok了 10/02 22:08
→ vswillie: 承辦人才說,原來有工具可以掃的喔!…xd 10/02 22:09
→ vswillie: 若懂得對公務員"說話的藝術",一樣100萬,有的很好賺 10/02 22:12
→ dm33: 檢測iOS通常是透過JB的手段 看你app的暫存檔 10/03 10:11
→ dm33: 另一個就是看你 web request有沒有加密~ 10/03 10:37
噓 mathrew: 100萬測你一個 APP ,出包扛到死,這廠商已經很佛心了 10/03 16:52
→ mathrew: 你以為檢測問題比寫APP還簡單喔?? 沒做過資安? 10/03 16:53
→ ChungLi5566: 檢測工具是當下已經公布的CVE去測 10/03 20:15
推 piadora: 胡說的,單次才12萬左右 10/08 13:00
推 piadora: 有owasp mobile 2016規範可以依循 10/08 13:03
噓 paul7322000: App端到底需要測什麼 幾乎都是丟api 不如測後端的安 10/09 13:52
→ paul7322000: 全性還比較實際 10/09 13:52