第64章 審查(1/2)
「王工,這個OA系統的權限設置,我有點不明白。」
我把列印出來的技術文檔推到對面工程師面前,指著用紅筆圈出的地方。
屏幕上是那個新外包公司做的OA系統測試界面,背景是長城石化燕山分公司醒目的Logo。
工程師小王湊近看了看:「林姐,哪裡不明白?」
「這個權限樹是按部門層級設計的,很標準啊。」他是我們IT技術部派來配合我這個法務專員做OA系統合規審查的。
「標準?」我點了點文檔里的一行小字。
「你看這裡,『超級管理員帳戶可臨時開放全庫數據查詢權限,用於緊急技術支持』。這個『全庫數據』,包含哪些?」
小王愣了一下:「呃……理論上,是整個系統的後台資料庫吧,用戶信息、流程審批記錄、文件存儲路徑……」
「系統里有的,都能看。」
我心裡不禁打了個問號:「給一個外包公司的臨時技術支持人員開這麼高的權限?而且,這權限怎麼收回?有記錄嗎?」
「流程上……」小王點開系統後台的一個設置頁面。
「需要甲方,也就是我們這邊,有審批權限的主管授權,生成一次性臨時密碼。」
「用一次就失效了。記錄……後台操作日誌應該會記吧?」他說著,自己也不太確定地翻找起來。
我盯著他屏幕上的後台管理界面,那個權限管理模塊的菜單項名字叫「上帝之眼」。
這名字讓我很不舒服,「王工,麻煩你模擬一下,給這個『上帝之眼』授權,看看操作日誌里到底記不記,記什麼。」
小王依言操作。他用自己的帳號發起授權申請,我模擬主管審批通過。
系統很快生成了一個臨時帳號和密碼。他用這個臨時帳號登錄,然後在資料庫查詢界面隨便點了個「查詢所有用戶信息」。
「好了,看看日誌。」我催著他。
小王切到系統日誌模塊,「奇怪……只記了『臨時管理員帳號登錄』和『執行資料庫查詢操作』。」
「查了哪個表?查了什麼內容?沒記錄。」
這不就是個後門嗎?一個可以繞過所有常規審計,悄無聲息翻看公司核心數據的洞!
「立刻終止測試!斷開測試環境與內網的連接!馬上!」我急切的提醒道。
小王也意識到問題嚴重性,手忙腳亂地操作起來。
我抓起桌上的電話,直接撥給了法務陳總監。
「陳總,OA系統審查發現重大安全隱患!」我語速飛快。
「外包方案里預留了『超級管理員』臨時權限,授權流程不嚴謹,關鍵操作日誌記錄不全,形同虛設!」
「我懷疑這權限能被用來隨意訪問甚至導出我們所有的數據、審批流程甚至文件!」
電話那頭沉默了一秒,傳來的是陳總監嚴肅的聲音,「你確定?測試環境斷開了嗎?」
「確定!王工正在斷,剛模擬操作驗證了日誌缺失問題。」
「那個權限模塊名字就叫『上帝之眼』,感覺設計者根本沒把數據安全當回事!」我忍不住加了一句。
「名字不重要,漏洞性質才要命。小林,你做得對,反應很快。」陳總監的聲音帶著肯定,「立刻把發現的所有問題點、操作記錄截圖、技術文檔相關頁,整理成書面報告,加密發我郵箱。」
「我馬上向分管領導匯報。這個外包公司,叫『智捷科技』是吧?」
「讓他們負責人下午兩點,到我辦公室來一趟!我倒要看看,他們這『智』和『捷』,用在什麼地方!」
「明白!」我放下電話,小王已經把測試環境徹底隔離了,正緊張地看著我。
「林姐,這……問題這麼大嗎?」
「用戶信息、通訊錄、所有文件的審批流轉記錄、甚至可能涉及一些非公開的技術文檔編號路徑……你覺得呢?」
我反問他,「這要是正式上線了,被有心人利用,後果不堪設想。」
本章未完,點選下一頁繼續閱讀。