你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它,买一个新的。

在等待新卡的时候,我需要取钱。于是我走进银行,把我的旧卡给了那位女士,并解释说:“这张卡最近被取消了,但我需要一些钱。你能从这个账户里取点钱吗?”

当我走出银行时,口袋里揣着现金,我意识到我刚刚用一张注销的卡从一个账户里取了钱,而没有被要求出示任何形式的身份证明。

其他回答

不是技术上的安全漏洞,但仍然是一个安全漏洞:

我的银行卡最近被自动取款机吃了,我花了几个星期才把它拿回来。当它最终到达银行时,银行的一位女士打电话给我,问我是想自己取卡还是让他们邮寄给我。她还告诉我,如果他们要寄给我,他们会关闭它,直到我打电话给他们确认它安全抵达我家。

我收到了这张卡,并附上了一封简短的信,上面有确切的联系方式,其中包括一张便条,说我需要打电话重新启用这张卡。我只是打电话给他们,给了他们我的名字和账号,这两个都印在卡上,他们重新启用了卡。

基本上,如果有人抢了那封信,他们就会有信用卡和银行号码,以及所有需要的信息,让银行相信实际上是我打来的。所以那里的安全系统不太好。

我曾经接手了一个系统的开发,这个系统在全国有200个客户在使用,它有硬编码的密码。是的,代码实际上写着:

if password = "a"

去年,我离开了一家汽车ERP公司,该公司数百个客户的服务器上都有相同的管理密码。我猜我走后他们没有全部换掉。

这不是安全漏洞,而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码,一旦你登录,你当然不会在第一屏幕上阅读废话,你只是跑去找你要找的东西(文档或软件),然后注销。

但这里有个技巧,下次你尝试登录时,你的密码不再有效,因为你应该有新密码,他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后,他们给我发了大约30个列举的一次密码列表,我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表,贴在我桌子前的墙上,每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

在一个论坛中,我已经获得了对隐藏线程和管理界面的只读访问权限,只需将cookie中的用户名替换为管理员的用户名,而不更改密码。

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候,我惊呆了。