500萬筆個資外洩？ 104程式邏輯設計漏洞

2014 / 07 / 14

張維君

日前中視新聞報導，104人力銀行系統有漏洞，500萬筆會員個資恐外洩。投訴人表示利用Chrome開發者工具Advanced REST client，「輸入一段遭破解的程式碼」，就可取得所有會員的履歷資料。在媒體報導前，此一問題已經修復。

DEVCORE執行長翁浩正表示，此一問題不在所使用的Advanced REST client，利用其他軟體也可以做到。主要是網站程式邏輯設計有問題，開發者沒有足夠的資安思維，沒有思考到表單上的資訊是可以被竄改的，例如說在 form 裡面的 hidden input(隱藏欄位)。

翁浩正指出，這類問題也是OWASP常見的程式安全問題，只要有找專業的資安服務廠商做滲透測試，應該可以馬上找出此類漏洞。

程式安全個資