V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fyzhh
V2EX  ›  数据库

关于开后门

  •  4
     
  •   fyzhh · 2023-10-15 03:42:06 +08:00 via iPhone · 10741 次点击
    这是一个创建于 405 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:
      本人在银行的 it 部门上班,最近行里对员工操作生产环境(包括但不限于前端静态资源,中间件,微应用)的限制逐渐加强了,以前想改个数据库的数据直接用账户密码连上数据库服务器就能操作,现在账户密码都被统一管理起来,需要提申请才有权限登录服务器。这样就导致出了问题想要紧急改数据的时候很不方便,而且提申请要领导审批流程特别长然后还要专门开会解释。

    目标:
       想要开后门,通过调后台应用的接口来操作数据库。应用因为是给不了解程序的业务人员使用的,所以安全性上要求没这么高,并且我们开发人员可以登录生产环境的浏览器能访问到后台应用。

    技术栈:
       后台框架是行里封装过的 springboot ,springcloud ,持久层用的是 mybatis ,数据库是 mysql ,应用部署在行里搭的阿里云。

    疑问:
       需要注意什么,有没有什么现成的解决方案。操作数据应该是不成问题的,但是变更表结构可能不太行。
       还有很好奇各位 v 友你们公司对生产环境的操作一般是怎么管理的,然后你们有没有什么开后门的骚操作。
    第 1 条附言  ·  2023-10-15 09:35:03 +08:00
    补充:
    1.本人负责的系统属于外围系统,只是展示性的,不涉及账务相关的操作,也没有客户的数据。
    2.之所以追求不走申请是因为有些小问题不想让领导知道,大问题肯定还是该走流程就走流程。
    112 条回复    2023-10-17 10:12:26 +08:00
    1  2  
    aulayli
        1
    aulayli  
       2023-10-15 03:47:57 +08:00   ❤️ 26
    建议不要作死,一切都按流程来。
    mikewang
        2
    mikewang  
       2023-10-15 04:25:50 +08:00 via iPhone   ❤️ 14
    给银行生产数据库开后门,刑啊
    wunonglin
        3
    wunonglin  
       2023-10-15 04:32:32 +08:00
    下次上新闻的是你没跑了
    iBugOne
        4
    iBugOne  
       2023-10-15 05:32:42 +08:00 via Android   ❤️ 16
    既然银行有规定的申请到操作流程,那么任何紧急时候的不方便都不是你的责任,你开个后门“更快地”完成什么任务对你也没好处,建议别觉得自己很刑
    Worldispow
        5
    Worldispow  
       2023-10-15 05:57:44 +08:00 via Android   ❤️ 2
    只开数据库不够方便,建议直接把内网和互联网打通,在家也能操作服务器和数据库。
    当然了,这个事只能中午做。
    zhandouji2023
        6
    zhandouji2023  
       2023-10-15 06:49:21 +08:00 via Android
    银行是你的吗?早点修好 bug 多赚钱到你口袋里了吗?
    ljrdxs
        7
    ljrdxs  
       2023-10-15 06:52:17 +08:00 via Android
    震惊,银行手动改 PROD 环境数据。OP 待大银行(用的人很多),还是小的(地方性)?
    suzic
        8
    suzic  
       2023-10-15 06:58:02 +08:00 via Android
    你要改的是什么数据,敏感吗,涉及到金额相关吗
    shakoon
        9
    shakoon  
       2023-10-15 07:33:52 +08:00 via Android
    其实吧,哪用得着自己造轮子。我见过有些外包厂商的产品(还是全国最大的几家)就有类似可以执行 sql 的后门工具给管理员用,有些是直接可以手输 sql 就干了,有些是配置报表、指标的 sql 来查数据。所以你先找你那个系统的开发商问问,大部分 MIS 都能给你惊喜。交易系统倒是这种不多见,厂商自己也知道风险太高。
    shakoon
        10
    shakoon  
       2023-10-15 07:36:49 +08:00 via Android
    楼主不要太激动,忘说一下这么做的后果。员工有被直接开除的,厂商有被罚到整个项目一分钱都没收到的。你自己斟酌哟
    zhw2590582
        11
    zhw2590582  
       2023-10-15 08:01:21 +08:00
    想起一部电影,偷偷的把每银行账户的 0.001 元转出来给你
    wentx
        12
    wentx  
       2023-10-15 08:48:20 +08:00   ❤️ 1
    你这手动改线上 DB ? 慌的一批啊,还是银行。。 真刑
    laozhoubuluo
        13
    laozhoubuluo  
       2023-10-15 08:49:42 +08:00   ❤️ 2
    @iBugOne 是的,现在这种出了问题报告里面可以直接写 "考虑到信息安全因素因此业务部门修改生产数据需进行审批,审批流程较长且缺乏紧急事件的应急响应机制导致业务恢复时间较长" ,到时候开个后门这些话没准就得留到法制节目上说了。
    本来计算机相关的罪名入罪条件就极其宽松,恨不得在重要系统或者用户量极大的系统上写个 Bug 都能擦上边,开个后门恐怕只会加速计算机从入门到阶下囚的进程。
    lazyyz
        14
    lazyyz  
       2023-10-15 08:50:30 +08:00 via Android   ❤️ 1
    可刑性非常高
    cheng812
        15
    cheng812  
       2023-10-15 09:30:50 +08:00
    @zhw2590582 好几年前真有个老兄这么干过,好像一个超市的哥们,把结帐时四舍五入的部分腾挪到自已帐户里,后来不知怎么曝光了
    ttvv123
        16
    ttvv123  
       2023-10-15 09:35:29 +08:00   ❤️ 3
    感觉越来越离谱了。。。。
    从讨论怎么上班时间远程打卡
    到怎么开后门修改银行线上库

    真刑
    v2eeeezh
        17
    v2eeeezh  
       2023-10-15 09:47:21 +08:00
    打算蹲几年🤷
    ily433664
        18
    ily433664  
       2023-10-15 09:55:56 +08:00
    刑啊,这日子是越来越有判头了
    sdcg1994
        19
    sdcg1994  
       2023-10-15 10:01:58 +08:00 via Android
    之前在天津某银行干过外包 生产服务器 oracle 密码是 abc123456 (就是进机房要安检
    IvanLi127
        20
    IvanLi127  
       2023-10-15 10:13:48 +08:00 via Android
    换个小公司就行啦,不用费尽心机开后门,正门都能随便走,还不会有职业风险
    sujin190
        21
    sujin190  
       2023-10-15 10:22:09 +08:00 via Android
    按正常需求-开发-测试标准流程下来,无论大小问题也不是你的责任,经常出现意想不到的小问题 leader 顶多也就是觉得你还该提高,但你确实也应该提高细致一些,似乎没啥问题吧,你这么搞收益改善 leader 印象和开除入刑的风险也非常不对等了吧,实属没必要

    如果非编码和外部依赖系统问题经常会有小问题需要处理,那恰恰说明你们系统设计还需完善,那你提建议从需求开始走岂不正好是证明你能力的时机
    Exdui
        22
    Exdui  
       2023-10-15 10:45:51 +08:00   ❤️ 1
    黑客最喜欢你这样的开发者了,以为外围系统➕小问题所以问题不大。
    qeqv
        23
    qeqv  
       2023-10-15 10:47:40 +08:00
    如果岗位比较稳就不要做这些高风险操作
    idblife
        24
    idblife  
       2023-10-15 10:48:25 +08:00 via iPhone
    想死
    Moyyyyyyyyyyye
        25
    Moyyyyyyyyyyye  
       2023-10-15 10:51:23 +08:00
    不要作死,走流程
    lzy250
        26
    lzy250  
       2023-10-15 10:58:57 +08:00 via iPhone
    ^_^
    crackidz
        27
    crackidz  
       2023-10-15 11:51:23 +08:00   ❤️ 1
    黑客:就喜欢你这样的自作聪明
    uselessVisitor
        28
    uselessVisitor  
       2023-10-15 12:08:19 +08:00
    你是哪个银行,我以后避免在你行存钱
    hello2090
        29
    hello2090  
       2023-10-15 12:12:57 +08:00 via iPhone
    不是,就算你开了后门,你在数据库里的操作不会被记录的吗?
    xsen
        30
    xsen  
       2023-10-15 12:13:56 +08:00
    不做不死,做了就死。一切按照流程走
    pigspy
        31
    pigspy  
       2023-10-15 12:45:53 +08:00
    不作不死,你可能觉得流程很麻烦,但是关键时候流程会保护你的安全
    liangch
        32
    liangch  
       2023-10-15 12:48:29 +08:00
    吃饱了。
    Antiadictator
        33
    Antiadictator  
       2023-10-15 12:51:22 +08:00   ❤️ 1
    我一直强调,某些技术人员不要只会写着怎么写代码,也要经常地(战术性停顿)考虑实际情况,不要过分地(再次停顿)高估自己。
    xiamy1314
        34
    xiamy1314  
       2023-10-15 13:44:08 +08:00   ❤️ 1
    银行招你这种没脑子的?
    connor123
        35
    connor123  
       2023-10-15 14:01:54 +08:00
    流程走得慢,没事,慢就慢点,出了问题不会被开。你要是留后门,出了问题你得蹲大狱
    fredcc
        36
    fredcc  
       2023-10-15 14:05:33 +08:00 via Android
    可知合规两字怎么写,
    so898
        37
    so898  
       2023-10-15 14:14:10 +08:00
    报公司名字吧,不想信息被黑客拿走做社工库
    flyqie
        38
    flyqie  
       2023-10-15 14:14:17 +08:00 via Android
    后门开的欢,牢饭吃到饱。
    vmebeh
        39
    vmebeh  
       2023-10-15 14:18:42 +08:00
    展示的数据没有审批却变了,真·光速作死
    MartinWu
        40
    MartinWu  
       2023-10-15 15:18:21 +08:00
    怎么区分大小问题 ?
    11232as
        41
    11232as  
       2023-10-15 15:21:01 +08:00
    别作死...人审计的时候可不管你系统是不是外围得
    jackmod
        42
    jackmod  
       2023-10-15 15:33:06 +08:00
    谁做的规定谁负责,怎么?这么烫手的黑锅你要主动背?
    des
        43
    des  
       2023-10-15 15:33:55 +08:00
    你就说你想蹲几年吧
    abcbuzhiming
        44
    abcbuzhiming  
       2023-10-15 15:36:42 +08:00   ❤️ 1
    我非常的奇怪,你们这些在大厂的程序员,如此的没有法律和安全常识吗?没有就算了,对自己可能入狱的行为也没有一点敏感吗?
    wheat0r
        45
    wheat0r  
       2023-10-15 15:37:51 +08:00
    紧急访问批不下来关你屁事😂
    kenorizon
        46
    kenorizon  
       2023-10-15 15:44:13 +08:00
    @Worldispow hhh 因为早晚会出事是吧
    genesislive
        47
    genesislive  
       2023-10-15 15:49:21 +08:00
    程序员——从入门到入狱
    BurgundyRed
        48
    BurgundyRed  
       2023-10-15 17:21:50 +08:00
    我有个朋友还真这么干过,他们也是银行的非业务系统,和你一样的想法。最近被行内安全处的监控扫出来了。只能说有风险的。真要做就得设计好,通过加解密等方式规避监控。要么就老老实实提高项目组的投产变更质量。
    exploreexe
        49
    exploreexe  
       2023-10-15 17:33:18 +08:00
    别给自己找麻烦 管他什么大问题小问题,有啥问题找领导,出问题不用你背锅。
    llsquaer
        50
    llsquaer  
       2023-10-15 17:34:42 +08:00
    加强沟通即可。。你是怕 bug 没修好让领导觉得你能力不行么? 还是领导都觉得烦了让你来背下锅?

    这说远点,领导就算不想这么麻烦也理解你,但是从用户角度看是否也算数据泄露?

    如果谈到数据泄露,不管你是领导还是你都得去问问话吧??最后你觉得是谁背着锅好看?
    xuanbg
        51
    xuanbg  
       2023-10-15 17:36:12 +08:00
    就算业务系统出问题,因为权限批不下来耽搁好多天,关你 P 事?何况非业务系统
    skull
        52
    skull  
       2023-10-15 17:37:13 +08:00 via iPhone
    自掘坟墓🪦
    Ansen
        53
    Ansen  
       2023-10-15 17:50:05 +08:00 via iPhone
    你这很刑
    hefish
        54
    hefish  
       2023-10-15 17:53:13 +08:00
    先装个 frp 连到阿里云上看看。。。
    hengo
        55
    hengo  
       2023-10-15 17:59:45 +08:00
    什么破银行,绕道走
    raycool
        56
    raycool  
       2023-10-15 19:04:43 +08:00
    银行你就按流程走呗
    反正也不会开了你
    不按流程出问题就不好说了。
    congcong555
        57
    congcong555  
       2023-10-15 19:12:21 +08:00
    现在监狱的伙食很好了吗?这么想进去。
    nenseso
        58
    nenseso  
       2023-10-15 19:26:23 +08:00
    后门开的好,牢饭吃到饱
    Felldeadbird
        59
    Felldeadbird  
       2023-10-15 19:38:55 +08:00   ❤️ 1
    楼主的工作态度真的太刑了。公司在收紧管理下,还留恋快速开发修复问题。
    volatileSpark
        60
    volatileSpark  
       2023-10-15 21:11:29 +08:00
    敬佩楼主的工作态度,判刑了还请 OP 托亲友来 V2EX 发个帖,我们会去看望你的
    kingjpa
        61
    kingjpa  
       2023-10-15 21:26:29 +08:00
    我也这样干过,不过都是紧急时候使用,而且还会再套一层 vpn , 不过我那系统也就几百人用,只有数据流,不涉及资金流。
    我倒是不用申请,因为我就是管理员啊,

    疫情期间很傻很天真,把自己电脑映射到了外网,远程办公,结果不到半小时就被攻破了。 电脑老掉线,还以为是网络卡,结果是多人轮奸我的电脑,用户还建了好几个
    J0N
        62
    J0N  
       2023-10-15 21:44:01 +08:00
    刑啊,op 你的想法真的很有窗意。
    runzhliu
        63
    runzhliu  
       2023-10-15 22:38:25 +08:00
    没必要,按流程化来就行了,少做少错,保住工作 ; )
    mrduanpengbs
        64
    mrduanpengbs  
       2023-10-15 23:39:20 +08:00
    Runtime.Exec()
    xwayway
        65
    xwayway  
       2023-10-16 08:16:06 +08:00
    magic api ,满足你开后门的一切幻想
    knightgao2
        66
    knightgao2  
       2023-10-16 08:56:33 +08:00
    你敢把这事直接和领导说,让领导批准吗,领导都不会同意的事情,不要去做
    Dlin
        67
    Dlin  
       2023-10-16 09:11:19 +08:00
    弄个 sql 审计系统。
    openliucongbx
        68
    openliucongbx  
       2023-10-16 09:11:44 +08:00
    流程多,繁琐是保护你啊
    有事不用自己背,不是挺好的
    moyt
        69
    moyt  
       2023-10-16 09:16:01 +08:00
    啊,这……别作死,流程长,好摸鱼啊
    syubo2810
        70
    syubo2810  
       2023-10-16 09:20:12 +08:00
    我知道你想做啥,但不建议,不要为了自己明面上少错误干大错误的事,还有就是,一旦有后门,你的小错误会越来越多
    liuidetmks
        71
    liuidetmks  
       2023-10-16 09:23:26 +08:00
    我看刑!给你的脑洞点个赞
    likunyan
        72
    likunyan  
       2023-10-16 09:25:21 +08:00
    曲线救国是吧
    asd7160
        73
    asd7160  
       2023-10-16 09:29:04 +08:00
    感觉像是个刚毕业的小年轻啊?如果 OP 是 25 岁以上的人,那你可得好好反省自己了,这么大年纪可别再幼稚了
    kios
        74
    kios  
       2023-10-16 09:37:25 +08:00
    别找死,开了你必后悔
    tomatocici2333
        75
    tomatocici2333  
       2023-10-16 09:41:17 +08:00
    想蹲几年?
    zw1027
        76
    zw1027  
       2023-10-16 09:44:22 +08:00
    刚从互联网转过来的?金融 IT 合规你是一点都没学啊,审批流程长关你什么事了,好好打你的工吧,真是闲的
    shijingshijing
        77
    shijingshijing  
       2023-10-16 09:44:30 +08:00
    骚操作是真的多啊,牢饭吃到饱。
    8355
        78
    8355  
       2023-10-16 09:50:11 +08:00
    银行管理这么差的?连互联网公司都不如啊。。。
    op 你说下什么银行
    seeyourface
        79
    seeyourface  
       2023-10-16 09:52:55 +08:00
    V 友们都被你钓成翘嘴了
    xuyihao
        80
    xuyihao  
       2023-10-16 09:55:24 +08:00
    还不删帖? 能问出这种问题也是没谁了,真就法盲 a
    karmaisbitch
        81
    karmaisbitch  
       2023-10-16 09:56:50 +08:00 via iPhone
    写个可以执行 sql 的接口
    mcluyu
        82
    mcluyu  
       2023-10-16 10:14:02 +08:00
    看到第一句就震惊了。。。哪怕是几十人的小公司,也不是谁都能有权限修改数据库的吧。。。这还是银行???
    这下也就不难解释存在银行的钱说没就没了。。钱没丢才是不正常的嘞!!
    root71370
        83
    root71370  
       2023-10-16 10:37:01 +08:00
    正常公司走审计平台变更 DML 和 DDL, 推荐 yearning
    pierswu
        84
    pierswu  
       2023-10-16 10:43:53 +08:00
    既然银行已经给出了安全管理规范,就要按照这个来。别想着开后门,不然以后万一出问题你肯定是要背锅的,即使你离职了也一样可以拉你。
    而且银行都不急,你急个啥
    pangdundun996
        85
    pangdundun996  
       2023-10-16 10:45:31 +08:00
    别作死,老老实实走流程,流程不是约束你,是保护你的!
    nothingistrue
        86
    nothingistrue  
       2023-10-16 10:51:17 +08:00
    如果真得不是什么重要数据,那么让 DBA 直接开个限制权限的账户,不但更安全,还更好用。
    tusj
        87
    tusj  
       2023-10-16 10:52:03 +08:00
    我看刑!
    本来修点小故障,如果因为领导没有及时批准,也就晚几天修复,延期的责任也在领导头上。
    最多就是领导被审批搞烦了,抱怨几句怎么这么多故障。
    现在好了,大事小事真有个临时工背黑锅,领导高兴惨了!
    iosyyy
        88
    iosyyy  
       2023-10-16 11:07:33 +08:00
    @xuyihao v 站不能删帖
    ccc1924
        89
    ccc1924  
       2023-10-16 11:09:54 +08:00
    真刑啊,这种事情只要被发现丢工作都算轻的
    流程长就等等咯,让自己休息一会
    dsb2468
        90
    dsb2468  
       2023-10-16 11:31:26 +08:00
    我的建议是,不要留后门这种一眼就能看出目的的东西。
    PureWhiteWu
        91
    PureWhiteWu  
       2023-10-16 11:35:25 +08:00
    你要知道,开后门这种直接是破坏计算机系统罪了,入刑的。
    dsb2468
        92
    dsb2468  
       2023-10-16 11:35:36 +08:00
    建议把后门改成程序漏洞,毕竟程序开发时的漏洞是无法避免的,而你如果故意留一个你知道且可以利用的漏洞,那么就算未来这个漏洞被发现了,也只会当成安全问题被修复,而不会被怀疑到开发者的身上。

    毕竟 CRUD 这种后门一旦被发现,它的意图还是很明显的。

    如果是程序漏洞的话,你这个漏洞不能太弱智、太明显,需要尽可能延长生命周期。

    当然了,你如果因此凉了,就不要怪我了(我没做过,只是给你提供思路)
    libook
        93
    libook  
       2023-10-16 11:41:30 +08:00
    禁止做的事情,建议就是不要做。

    轻则开除、吃官司,重则老板报警给你留案底。

    引用师爷的话:不能拼命,拼命还怎么赚钱?
    LostWhite
        94
    LostWhite  
       2023-10-16 11:50:33 +08:00
    不要做
    如果因为流程太长导致你任务完不成不是你的问题
    不要乱动程序
    严格来说犯法
    kilotiger
        95
    kilotiger  
       2023-10-16 11:52:57 +08:00
    😨OP 就这样向往牢狱生活?
    ZXCDFGTYU
        96
    ZXCDFGTYU  
       2023-10-16 11:55:26 +08:00
    不管是不是展示性的,但凡你系统被 getshell ,直接就可以内网漫游,你是真的想吃国家饭啊,6
    insert000
        97
    insert000  
       2023-10-16 12:01:46 +08:00
    有 bug 导致生产事故你遵守流程制度操作,你的直属领导能担 50%的甚至更多的责任。如果留后门或者隐藏接口被抓到你就是 100%的责任甚至连带刑事责任
    paopjian
        98
    paopjian  
       2023-10-16 12:07:29 +08:00
    你不知道现在所有系统都是要走漏扫的么,真扫出来了你可跑都没法跑
    gimp
        99
    gimp  
       2023-10-16 12:16:53 +08:00
    刑啊,这日子越来越有判头了
    black0144
        100
    black0144  
       2023-10-16 12:33:09 +08:00
    用不着这么“敬业”吧。。。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2860 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 97ms · UTC 14:12 · PVG 22:12 · LAX 06:12 · JFK 09:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.