你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

UNIX文本登录屏幕是如此容易复制…:)

其他回答

我继承了一个客户项目来照看:一个ASP。网项目 (构建于1.1),其中50%是编译DLL(没有编译DLL) 源代码)和50%的JIT编译后代码。

整个网站应该只对会员开放——除了 原来的开发人员已经建立了一个后门:只需提交 用空白的用户名和密码登录表单,你就会 找到自己作为一个秘密的超级管理员登录:做 什么都看,什么都看。

您猜对了:所有的身份验证代码都被隐藏了 在预编译的DLL中。最糟糕的是当我 被告知“它不在bug列表中,那么客户端呢? 不会付钱,所以离开它”。我照做了,现在还在直播 今天。

不是最糟糕的,但很好笑的一个是Android操作系统重启的bug。当用户使用G1手机时,他们可以在手机的任何地方输入“重启”(比如:短信或电子邮件),手机就会重新启动。

当我使用Colloquy (IRC)时,密码字段会弹出,但我仍然在主屏幕上集中,所以当我按下enter键时,全世界都知道我的密码,而我却没有意识到。

在一所不知名的大学,他们所有的动作查询都是通过URL传递的,而不是通过表单发布的。

这个东西一直在工作,直到谷歌Bot出现,运行了他们所有的url并删除了他们的数据库。

我之前至少有一个同事可能符合这个条件。