你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
当关键IT员工离开公司时,不更改管理密码。
其他回答
这不是安全漏洞,而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)
这是关于“安全登录”的页面为合作伙伴。是这样的:
第一次你通过电子邮件获得明文密码,一旦你登录,你当然不会在第一屏幕上阅读废话,你只是跑去找你要找的东西(文档或软件),然后注销。
但这里有个技巧,下次你尝试登录时,你的密码不再有效,因为你应该有新密码,他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后,他们给我发了大约30个列举的一次密码列表,我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)
所以我打印了这个密码列表,贴在我桌子前的墙上,每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。
IIS上的Web应用程序,没有文件上传过滤器。所以你可以上传exe,并做smf乐趣;)
在文本框中输入1=1将列出系统中的所有用户。
瑞典的一家在线dvd租赁店在查询字符串中发送了纯sql语句。
如果你在菜单框中选择了“Comedy”类别,它会将“select * from movies where category=2”作为查询字符串发送给movielist-frame,然后执行sql语句并显示所有符合条件的电影。
在您的订单中添加电影时也是如此。
只要将查询更改为“从电影中删除*”和“从订单中删除*”,该公司就会大获成功。
我在The Daily WTF上看到过这个。
<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
if (form.id.value=="buyers") {
if (form.pass.value=="gov1996") {
location="http://officers.federalsuppliers.com/agents.html"
} else {
alert("Invalid Password")
}
} else {
alert("Invalid UserID")
}
}
//-->
</script>
恕我直言,没有什么比这更好的了。