你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

UNIX文本登录屏幕是如此容易复制…:)

其他回答

一家销售电脑的公司用FrontPage建立了一个网站,每个人都可以完全访问。

我听说,当你以电子方式提交申报表时,Turbo Tax曾经以纯文本文件发送你的SSN。这似乎不是个好主意。

我还知道一家公司将信用卡信息存储在桌面上的纯文本CSV文件中。然后通过FTP发送到支付网关....

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了,一个操作员就有这么大的不同。

在一所不知名的大学,他们所有的动作查询都是通过URL传递的,而不是通过表单发布的。

这个东西一直在工作,直到谷歌Bot出现,运行了他们所有的url并删除了他们的数据库。

这是很久以前的事了……但DEC的VAX系统过去是随账户一起发货的:

系统登录: 密码:经理

而且 登录:字段 服务密码:

大多数系统管理员都知道SYSTEM帐户,并且大多数(但不是全部)会更改它。然而,并不是所有人都知道FIELD帐户也有SYSTEM特权。