你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
2007年,一家相当大的机构的国防部网站出现了错误配置,导致IIS web服务器提供原始代码,主页中有硬编码的用户名/密码和数据库服务器信息。幸运的是,它很快就被抓住了,但我确实目睹了它,这非常令人震惊。不用说,他们的网站被网络工程师关闭了,直到开发人员修复了糟糕的代码。
其他回答
当我还在上中学的时候,县里的学校系统设置了所有的“安全”软件来防止孩子们接触部分互联网,或者改变配置设置和安装垃圾软件。除了该软件非常边缘的事实(一些shell修改可以通过在文件>保存框中单击鼠标右键绕过),他们还设置了教师的密码来教学。
是啊,真的很安全。
我见过很多客户项目,这些项目都包含IP地址、用户名和SQL server数据库的密码。
我所见过的最糟糕的是信用卡、个人识别码和姓名以纯文本形式存储。我差点心脏病发作了。
访问一个非常有名的在线商店的联系页面,向下滚动,搜索一个电话号码。相反,我发现了一个上传表单,它接受所有的文件类型,实际上把上传的文件放在网站的根文件夹中,这意味着如果一个人上传了一个名为test.php的文件,它将被url mydomain.com/test.php调用:)
由于他们使用osCommerce(开源),因此编写一个脚本来获取所有数据库连接细节,然后下载他们完整的客户数据表,对于任何有足够智商的人来说,这将是不到五分钟的工作。
我联系了他们,最后得到了我下次购买的折扣券,他们在几分钟内删除了上传表单。
About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.
推荐文章
- 浏览器会通过https缓存内容吗
- 在git存储库中处理密码的最佳实践是什么?
- 支付处理器-如果我想在我的网站上接受信用卡,我需要知道什么?
- 如何加密和解密一个PHP字符串?
- 使用80端口运行Node.js时的最佳实践(Ubuntu / Linode)
- 使用PHP进行最简单的双向加密
- JWT刷新令牌流
- 什么是回跳线?它是如何工作的?
- 可利用的PHP函数
- 删除SQL Server Management Studio中记住的登录名和密码列表
- 如何为Windows上的代码签名创建自签名证书?
- 如何验证ssl证书?
- 你把盐串放在哪里?
- 在浏览器的哪里存储JWT ?如何防范CSRF?
- “让我登录”——最好的方法
