你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容,而不是将其清空。这样,当你在公共计算机上注册表单时,就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。
我相信很少有低安全性的网站,用户的密码和登录信息可以很容易地被管理员访问。
其他回答
在PHP中,这是在第一个包含文件:
extract($_GET);
extract($_POST);
它允许覆盖未被_GET或_POST调用的变量。
我的一个朋友曾经知道一个站点将SQL查询作为GET参数传递。你知道有些人会拿这个开玩笑。
我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它,买一个新的。
在等待新卡的时候,我需要取钱。于是我走进银行,把我的旧卡给了那位女士,并解释说:“这张卡最近被取消了,但我需要一些钱。你能从这个账户里取点钱吗?”
当我走出银行时,口袋里揣着现金,我意识到我刚刚用一张注销的卡从一个账户里取了钱,而没有被要求出示任何形式的身份证明。
我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是
if (password.equals(requestpassword) || username.equals(requestusername))
{
login = true;
}
太糟糕了,一个操作员就有这么大的不同。
"Pedo mellon a minno", "与朋友交谈,然后进入",在摩瑞亚的大门上。
In the 1970's Stanford had IBM 2741 hardcopy terminals spread around campus networked to an IBM 360/67. Account passwords were three characters. During logon, the password prompt would overprint a three-position blob of about nine random uppercase characters, so the subsequently-typed password would supposedly be masked by the blob. However, everyone typed their passwords in lowercase, which were trivial to discern against the uppercase background blob. That meant you could usually walk up to any terminal, peruse the hardcopy typically left behind by the previous user, and easily logon with their account and password.
推荐文章
- JavaScript:客户端验证与服务器端验证
- ASP。NET身份的默认密码散列器-它是如何工作的,它是安全的?
- 主体、使用者和主体之间的意义和区别是什么?
- 阻止人们入侵基于php的Flash游戏高分表的最佳方法是什么
- 在php中生成一个随机密码
- java.util.Random和java.security. securerrandom的区别
- Docker和安全密码
- 准备好的语句如何防止SQL注入攻击?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
