寫程式真的是良心事業
（買便當去，晚點下收）

最近在解白箱掃描的高中低風險，解到一個匪夷所思的問題

Stored XSS 明明已經用 Util method 去 escape 輸出了，但是依然被判斷為風險

仔細去看那個 Util 才發現，它只有 method name 是 escape ，其實內容根本就是把輸入直接返回，因為根本沒有對輸入字串做 escape 所以才會被掃出來

我就去問內勤窗口，他憤憤地跟我說他遇到詐騙集團

原來這個的白箱掃描軟體之前標榜不需要 compile 程式即可掃描，因此當初的委外廠商就利用掃描軟體只會判斷程式字面的功能，弄了一個空空如也的 Util 檔案，然後把 method name 都加上「escape」，這樣就可以騙過掃描軟體...

我就笑他說，挖靠你不是只遇到一個詐騙集團，你是遇到兩個：一個是掃描軟體、一個是解這個風險問題的人

所以寫程式真的是良心事業

沒有專業知識、沒有好好 code review ，就算你花錢外包，也可能會遇到這種詐騙集團

以上，故事就到這邊，我要去睡午覺了 Zzz

好扯…