Avatar
0
Nguyễn Thái Sơn Professional
Nguyễn Thái Sơn Professional
how to avoid backdoor
công ty em làm fintech, có đang thuê 1 số đối tác outsource. Anh ơi giả sử bên đối tác họ gài 1 đoạn backdoor, ví dụ viết 1 API cá nhân có chức năng cộng tiền vào tài khoản, làm thế nào để check được mà không cần đọc code ạ
  • Answer
Remain: 5
1 Answer
Avatar
tvd12 Professional
tvd12 Professional
Nếu không đọc code thì chỉ có thể trông chờ đội DevOps họ monitor thôi em ạ

  • Nếu đó là API lạ thì có thể phát qua prometheus, khi thanh tra danh sách cách API
  • Nếu đó là 1 đoạn if else kiểu if (user == Dung) then làm gì đó thì đúng là quá khó để phát hiện, chắc chỉ có thể theo dõi sự bất thường khi đối soát giao dịch vào cuối hàng tháng.
  • Nếu đó là 1 cái shell giống log4jshell thì có lẽ cũng chỉ có thể phát hiện ra khi có sự bất thường trong hệ thống, hoặc khi hacker đã thông báo trên các diễn đàn thôi em ạ.

Nhìn chung là nếu không đọc code thì quả thật là quá khó e ạ.

  • 0
  • Reply