你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
有一次我在一家公司工作,我不得不和别人分享 通过加密的信息。他们给我提供了一个GPG 密钥对-它们的公钥和私钥而不是 只是共享公钥和高度 保密。
我不得不向他们解释这个过程是错误的 意识到他们这样做已经很长时间了。
其他回答
我的目标是我曾经的客户。我无法登录,所以我打了客服电话。他们只问了我的用户名,没有问任何安全问题,也没有试图验证我的身份。然后,他们没有将密码重置发送到他们存档的电子邮件地址,而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址,并重新设置了密码。
所以本质上,黑客只需要我的用户名,他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。
About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.
在我以前工作的店里有个不错的。通往非公共区域的门有小键盘,所以你必须输入pin码才能进入。然而,你只需按#,门就会打开,这是我们喜欢的事实,因为按#比按6位pin码容易得多。
微软鲍勃 (来源:Dan's 20th Century Abandonware)
如果您第三次输入密码错误,系统将询问您是否忘记密码。
http://img132.yfrog.com/img132/8397/msbob10asignin15.gif
但是,你可以输入任何新密码,它会替换原来的密码,而不是像继续提示输入正确的密码,直到输入正确的密码,或者在多次尝试错误后锁定你!任何人都可以用任何密码“保护”的Microsoft Bob帐户这样做。
不需要事先进行身份验证。 他的意思是,用户1只需要三次输入密码错误,然后第四次输入新密码就可以更改自己的密码,而不必使用“更改密码”。
这也意味着User1可以修改User2, User3…以完全相同的方式。任何用户都可以更改其他用户的密码,只要输入三次错误密码,然后在出现提示时输入新密码,然后他们就可以访问该帐户。
http://img132.yfrog.com/img132/9851/msbob10asignin16.gif
意外地将数据库根密码提交给源代码控制。这很糟糕,因为它是Sourceforge上的源代码控制。
不用说,密码很快就改了。