你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

有一次我在一家公司工作,我不得不和别人分享 通过加密的信息。他们给我提供了一个GPG 密钥对-它们的公钥和私钥而不是 只是共享公钥和高度 保密。

我不得不向他们解释这个过程是错误的 意识到他们这样做已经很长时间了。

其他回答

从早期的在线商店来看:

在购物车的数量栏输入.1即可获得9折优惠。软件正确地将总成本计算为.1 * cost,人工包装订单只是忽略了包装数量前面的奇数“.”:)

信不信由你,我最近在一个网站上发现了这个:

eval($_GET['code']);

服务器甚至没有安全模式…

在文本框中输入1=1将列出系统中的所有用户。

我继承了一个客户项目来照看:一个ASP。网项目 (构建于1.1),其中50%是编译DLL(没有编译DLL) 源代码)和50%的JIT编译后代码。

整个网站应该只对会员开放——除了 原来的开发人员已经建立了一个后门:只需提交 用空白的用户名和密码登录表单,你就会 找到自己作为一个秘密的超级管理员登录:做 什么都看,什么都看。

您猜对了:所有的身份验证代码都被隐藏了 在预编译的DLL中。最糟糕的是当我 被告知“它不在bug列表中,那么客户端呢? 不会付钱,所以离开它”。我照做了,现在还在直播 今天。

当关键IT员工离开公司时,不更改管理密码。