V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fyzhh
V2EX  ›  数据库

关于开后门

  •  4
     
  •   fyzhh · 2023-10-15 03:42:06 +08:00 via iPhone · 10776 次点击
    这是一个创建于 431 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:
      本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。

    目标:
       想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。

    技术栈:
       后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。

    疑问:
       需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。
       还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
    第 1 条附言  ·  2023-10-15 09:35:03 +08:00
    补充:
    1.本人负责的系统属于外围系统,只是展示性的,不涉及账务相关的操作,也没有客户的数据。
    2.之所以追求不走申请是因为有些小问题不想让领导知道,大问题肯定还是该走流程就走流程。
    112 条回复    2023-10-17 10:12:26 +08:00
    1  2  
    CatCode
        101
    CatCode  
       2023-10-16 13:13:45 +08:00
    看标题我以为是开车的后门(物理)
    Cat7373
        102
    Cat7373  
       2023-10-16 14:11:06 +08:00
    建议别作死,不出事没好处,出事就死透透的了,没准还得留案底,而且有时候出事不见得是自己操作失误,有太多你控制范围之外的因素
    lichao
        103
    lichao  
       2023-10-16 14:18:53 +08:00
    老实交代,是不是开后门才进的银行工作的?
    purensong
        104
    purensong  
       2023-10-16 14:38:27 +08:00
    楼层看下来 OP 都没说一句,大概率是钓鱼,xdm 撤吧,别给热度了
    yulgang
        105
    yulgang  
       2023-10-16 14:43:00 +08:00
    蹲一下有你的新闻~
    hui9000
        106
    hui9000  
       2023-10-16 14:49:39 +08:00
    这种“方便”出现在任何公司都很危险,何况你是在银行;你到哪都不能随意用程序的数据库连接生产库进行直接修改数据,这个是严格禁止的。你是怎么进入银行的。真邢!
    lete
        107
    lete  
       2023-10-16 16:28:45 +08:00
    我看形
    blackmirror
        108
    blackmirror  
       2023-10-16 16:34:23 +08:00
    有想法,开好了跟我们说下,也进去观摩下
    AlanBrian
        109
    AlanBrian  
       2023-10-16 16:39:16 +08:00
    @cheng812 #15 我印象里是因为这个哥们花销不正常,交了好几十个女友,然后被发现了!
    yulon
        110
    yulon  
       2023-10-16 18:17:39 +08:00
    那你就开个会申请,来 v2 开什么赛博会议😂
    way2explore2
        111
    way2explore2  
       2023-10-17 05:53:22 +08:00
    我觉着你这不是开后门,只是想在数据库上加 CRUD API ,以方便工作。
    m3ops2021
        112
    m3ops2021  
       2023-10-17 10:12:26 +08:00
    咳咳,做开发的多少得懂一点安全常识。建议你千万不要留下 可 SQL 注入如宽字节等漏洞,也不要留可利用的反序列化的代码逻辑,超级 cookie 更是万万不能
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3793 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 04:14 · PVG 12:14 · LAX 20:14 · JFK 23:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.