你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
UNIX文本登录屏幕是如此容易复制…:)
其他回答
一家销售电脑的公司用FrontPage建立了一个网站,每个人都可以完全访问。
我听说,当你以电子方式提交申报表时,Turbo Tax曾经以纯文本文件发送你的SSN。这似乎不是个好主意。
我还知道一家公司将信用卡信息存储在桌面上的纯文本CSV文件中。然后通过FTP发送到支付网关....
我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是
if (password.equals(requestpassword) || username.equals(requestusername))
{
login = true;
}
太糟糕了,一个操作员就有这么大的不同。
在一所不知名的大学,他们所有的动作查询都是通过URL传递的,而不是通过表单发布的。
这个东西一直在工作,直到谷歌Bot出现,运行了他们所有的url并删除了他们的数据库。
这是很久以前的事了……但DEC的VAX系统过去是随账户一起发货的:
系统登录: 密码:经理
而且 登录:字段 服务密码:
大多数系统管理员都知道SYSTEM帐户,并且大多数(但不是全部)会更改它。然而,并不是所有人都知道FIELD帐户也有SYSTEM特权。