这是一个创建于 747 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:
本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。
目标:
想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。
技术栈:
后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。
疑问:
需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。
还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。
目标:
想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。
技术栈:
后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。
疑问:
需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。
还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
第 1 条附言 · 2023-10-15 09:35:03 +08:00
补充:
1.本人负责的系统属于外围系统,只是展示性的,不涉及账务相关的操作,也没有客户的数据。
2.之所以追求不走申请是因为有些小问题不想让领导知道,大问题肯定还是该走流程就走流程。
1.本人负责的系统属于外围系统,只是展示性的,不涉及账务相关的操作,也没有客户的数据。
2.之所以追求不走申请是因为有些小问题不想让领导知道,大问题肯定还是该走流程就走流程。
 |
101
CatCode 2023-10-16 13:13:45 +08:00
看标题我以为是开车的后门(物理)
|
 |
102
Cat7373 2023-10-16 14:11:06 +08:00
建议别作死,不出事没好处,出事就死透透的了,没准还得留案底,而且有时候出事不见得是自己操作失误,有太多你控制范围之外的因素
|
 |
103
lichao 2023-10-16 14:18:53 +08:00
老实交代,是不是开后门才进的银行工作的?
|
 |
104
purensong 2023-10-16 14:38:27 +08:00
楼层看下来 OP 都没说一句,大概率是钓鱼,xdm 撤吧,别给热度了
|
 |
105
yulgang 2023-10-16 14:43:00 +08:00
蹲一下有你的新闻~
|
 |
106
hui9000 2023-10-16 14:49:39 +08:00
这种“方便”出现在任何公司都很危险,何况你是在银行;你到哪都不能随意用程序的数据库连接生产库进行直接修改数据,这个是严格禁止的。你是怎么进入银行的。真邢!
|
 |
107
lete 2023-10-16 16:28:45 +08:00
我看形
|
 |
108
blackmirror 2023-10-16 16:34:23 +08:00
有想法,开好了跟我们说下,也进去观摩下
|
 |
110
yulon 2023-10-16 18:17:39 +08:00
那你就开个会申请,来 v2 开什么赛博会议😂
|
 |
111
way2explore2 2023-10-17 05:53:22 +08:00
我觉着你这不是开后门,只是想在数据库上加 CRUD API ,以方便工作。
|
 |
112
m3ops2021 2023-10-17 10:12:26 +08:00
咳咳,做开发的多少得懂一点安全常识。建议你千万不要留下 可 SQL 注入如宽字节等漏洞,也不要留可利用的反序列化的代码逻辑,超级 cookie 更是万万不能
|
Select Language