IT infra / support / devops 討論(11)

https://x.com/MalwareJake/status/1798848402924667101

Az800其實有冇需要考

班dev是咪大陸仔

香港果班 都唔好得幾多
唔關地區事，中港 都又夾過D做得好手勢嘅
D嘢準，冇手尾，好清楚DEPLOY咗乜
唔使 重重覆覆 搞咁耐
手術成功，病人死咗

香港既dev都可以咁閪架
好彩我唔係infra唔洗成日對住佢哋

不過我做security成日做左vulnerability scan都見到佢哋9黎
個DB又放出街，php version outdate年幾
次次搵佢哋一係唔覆
一係就話好critical 唔可以update
平時唔肯update os既我都見過
PHP唔肯既真係想屌9佢
你啲野放出街比街外人access既
你都唔肯做好個security
到時出事又黎瀨9我哋

一係就話我哋裝完個edr搞到佢部機慢左
話ping慢左0.01ms好影響operation
咁緊張performance就唔好用Windows server 2008啦

唉，DB放 green zone 啦好心
閘到得自己幾隻APP機駁入嚟咪得，都唔知咩人設計架......
D友 清朝 嚟架？
最撚怕D友懶唔UPDATE D PROGRAM
你老味 INFRA 梗冇問題，上完好正常，你班契弟D 濕鳩APP自己 CALL埋 D 過期 FUNCTION之嘛
明明個 software EOL 咗，明明有新嘅feature 可以用，D 嘢快咗又易處理咗
你班契弟 唔撚執返靚D APP，用新指令，拖到連人哋原廠都唔俾你續 maint. ，明明有幾年你試同執，又拖到尾變 deadline fighter

吓
win server 2008連support都停左啦喎

同埋以windows server host既PHP....
有種危險既味道
(我強烈懷疑你地既DB係用MySQL, PHP係phpmyadmin)

假如係external web app
無waf擋住
我諗早就被人hack咗

冇audit要過咩
直接叫開finding逼佢執仲好啦

話方便vendor整野喎，都方便TA做野添

以前見過有上市公司唔用o365，因為佢有啲舊vb用新office會行唔到

我做過2間mnc既security，係有好多server都EOL仲用緊係production
另外做過間香港上市公司，仲有windows 98既機用緊，不過isolated左我就唔理佢

PHP有windows host同linux host既
不過佢哋set野真係好流
啲monthly scan成日都搵到野唔fix

好彩我哋強制所有出街既野都經waf
唔係真係死左十年

waf既錢真係唔慳得

正常security team 要做野，infra 俾左advise app team 唔肯搞就夾security 做野嫁啦，唔通security 白坐？

又唔可以話唔理解既
其實scanner好多時搵到既野都流流地
猶其係所謂CVE scan,呢堆tools既玩法都係見你version中佢個range就話你有事,但其實真係要exploit都要有硬外condition(即係好似log4shell咁,都要真係用緊log4j去存log而又冇限死parameter先中)

所以呢d位都只能搵pentester幫你試係咪真係有事
(而且好多時,d野由pentester把口講,會有力好多)

btw,通常windows host既PHP,唔多唔少都流流地
同埋DB可以係街access,點睇都係死罪

Pentest講起就無奈，由我入職開始講，請inhouse定出面搵人做，無budget，傾唔掂scope，到年半後都未有
可能要等我哋考oscp自己做埋

想請教咁多位ching，考cissp對攞offer嘅幫助大唔大？定通常係入職之後先會考？

fg無經驗，想入security呢行

睇公司睇行業
我無cissp轉左幾次

其中一間公司既manager唔鍾意新人有cissp

ching唔知可唔可以透露下做過邊行