Injection Rejection (2006)
10 months ago
- #software development
- #SQL injection
- #outsourcing
- Matthias Winkelmann的公司因海外团队时薪较低,将固定价格项目外包开发。
- 内部开发人员被禁止参与编码,仅协助测试人员沟通技术问题。
- 发现严重SQL注入漏洞,可使用''或1=1 --等密码登录系统。
- 海外团队修复不力,导致数周反复沟通解释问题。
- 测试人员频繁遇到'无效文本'错误,尤其涉及Seth、Amanda、George等名字时。
- 内部团队发现海外团队实施了有缺陷的SQL注入检查机制,错误拦截特定姓名。
- 当海外团队超支预估工时后,管理层最终指示内部团队修复所有缺陷。