关于开后门

2023-10-15 03:42:06 +08:00
 fyzhh
背景:
  本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。

目标:
   想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。

技术栈:
   后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。

疑问:
   需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。
   还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
10737 次点击
所在节点    数据库
112 条回复
aulayli
2023-10-15 03:47:57 +08:00
建议不要作死,一切都按流程来。
mikewang
2023-10-15 04:25:50 +08:00
给银行生产数据库开后门,刑啊
wunonglin
2023-10-15 04:32:32 +08:00
下次上新闻的是你没跑了
iBugOne
2023-10-15 05:32:42 +08:00
既然银行有规定的申请到操作流程,那么任何紧急时候的不方便都不是你的责任,你开个后门“更快地”完成什么任务对你也没好处,建议别觉得自己很刑
Worldispow
2023-10-15 05:57:44 +08:00
只开数据库不够方便,建议直接把内网和互联网打通,在家也能操作服务器和数据库。
当然了,这个事只能中午做。
zhandouji2023
2023-10-15 06:49:21 +08:00
银行是你的吗?早点修好 bug 多赚钱到你口袋里了吗?
ljrdxs
2023-10-15 06:52:17 +08:00
震惊,银行手动改 PROD 环境数据。OP 待大银行(用的人很多),还是小的(地方性)?
suzic
2023-10-15 06:58:02 +08:00
你要改的是什么数据,敏感吗,涉及到金额相关吗
shakoon
2023-10-15 07:33:52 +08:00
其实吧,哪用得着自己造轮子。我见过有些外包厂商的产品(还是全国最大的几家)就有类似可以执行 sql 的后门工具给管理员用,有些是直接可以手输 sql 就干了,有些是配置报表、指标的 sql 来查数据。所以你先找你那个系统的开发商问问,大部分 MIS 都能给你惊喜。交易系统倒是这种不多见,厂商自己也知道风险太高。
shakoon
2023-10-15 07:36:49 +08:00
楼主不要太激动,忘说一下这么做的后果。员工有被直接开除的,厂商有被罚到整个项目一分钱都没收到的。你自己斟酌哟
zhw2590582
2023-10-15 08:01:21 +08:00
想起一部电影,偷偷的把每银行账户的 0.001 元转出来给你
wentx
2023-10-15 08:48:20 +08:00
你这手动改线上 DB ? 慌的一批啊,还是银行。。 真刑
laozhoubuluo
2023-10-15 08:49:42 +08:00
@iBugOne 是的,现在这种出了问题报告里面可以直接写 "考虑到信息安全因素因此业务部门修改生产数据需进行审批,审批流程较长且缺乏紧急事件的应急响应机制导致业务恢复时间较长" ,到时候开个后门这些话没准就得留到法制节目上说了。
本来计算机相关的罪名入罪条件就极其宽松,恨不得在重要系统或者用户量极大的系统上写个 Bug 都能擦上边,开个后门恐怕只会加速计算机从入门到阶下囚的进程。
lazyyz
2023-10-15 08:50:30 +08:00
可刑性非常高
cheng812
2023-10-15 09:30:50 +08:00
@zhw2590582 好几年前真有个老兄这么干过,好像一个超市的哥们,把结帐时四舍五入的部分腾挪到自已帐户里,后来不知怎么曝光了
ttvv123
2023-10-15 09:35:29 +08:00
感觉越来越离谱了。。。。
从讨论怎么上班时间远程打卡
到怎么开后门修改银行线上库

真刑
v2eeeezh
2023-10-15 09:47:21 +08:00
打算蹲几年🤷
ily433664
2023-10-15 09:55:56 +08:00
刑啊,这日子是越来越有判头了
sdcg1994
2023-10-15 10:01:58 +08:00
之前在天津某银行干过外包 生产服务器 oracle 密码是 abc123456 (就是进机房要安检
IvanLi127
2023-10-15 10:13:48 +08:00
换个小公司就行啦,不用费尽心机开后门,正门都能随便走,还不会有职业风险

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/982058

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX