你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
当我还在上中学的时候,县里的学校系统设置了所有的“安全”软件来防止孩子们接触部分互联网,或者改变配置设置和安装垃圾软件。除了该软件非常边缘的事实(一些shell修改可以通过在文件>保存框中单击鼠标右键绕过),他们还设置了教师的密码来教学。
是啊,真的很安全。
其他回答
我曾经听说过一个在银行工作的程序员,他们以小数点后16位的精度计算他们的内部数据(包括账户余额)。
所以这个家伙改变了银行转账程序,每笔交易将0.00001美元转到他自己的账户,剩下的转到原来的目的地。我认为他们很快就抓住了他,但我不得不承认,当我第一次听说他的想法时,我觉得它很好。
我所见过的最糟糕的安全漏洞实际上是由你们公司编写的,导致谷歌机器人删除了我的整个数据库。
当我第一次学习经典ASP时,我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天,我移动到一个新的服务器,忘记重新保护IIS中的目录(哎呀)。
博客主页有一个指向主管理界面的链接,主管理界面为每条记录都有一个DELETE link(没有确认)。
有一天,我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站,恶意删除了所有的记录。
我从日志中发现:谷歌机器人爬了站点,跟踪管理链接,然后继续跟踪所有的DELETE链接,从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。
谢天谢地,我有备份。
我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。
不用说,网站没过多久就倒闭了。没有在线备份,所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。
我所见过的最糟糕的漏洞是web应用程序中的一个漏洞,即提供空用户名和密码将以管理员身份登录。
我的目标是我曾经的客户。我无法登录,所以我打了客服电话。他们只问了我的用户名,没有问任何安全问题,也没有试图验证我的身份。然后,他们没有将密码重置发送到他们存档的电子邮件地址,而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址,并重新设置了密码。
所以本质上,黑客只需要我的用户名,他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。