你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
在我以前的学校,他们把用户密码以明文形式存储在cookie中。
这本身就很可怕,但更糟糕的是,他们把它们储存在饼干里供*.大学。当然,现在所有学生和员工的页面都在university.edu.au/~user这样的网站上。
<?php
var_dump($_COOKIE); // oops.
其他回答
最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容,而不是将其清空。这样,当你在公共计算机上注册表单时,就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。
我相信很少有低安全性的网站,用户的密码和登录信息可以很容易地被管理员访问。
令人惊讶的是没有人提到社会工程,但我从这篇文章中得到了乐趣。
总结:恶意用户可以买几十个u盘,在里面装上自动运行的病毒或木马,然后在深夜把这些u盘撒在公司的停车场里。第二天,每个人都来上班,被闪闪发光的、糖果形状的、不可抗拒的硬件绊倒,并对自己说:“哦,哇,免费的闪存盘,我想知道里面有什么!”——20分钟后,整个公司的网络都被冲洗掉了。
最近,我被要求对一家公司的网站进行代码审查,希望我的雇主把这个网站作为一个维护项目。
我没花多长时间就发现了网站根目录下的纯文本文件,其中包含大约6000个客户的信用卡详细信息,包括账单名称、地址和CVV代码。它的名字甚至都没有想象力!
这是该网站最糟糕的问题,但它也充满了SQL注入问题。
我们礼貌地指出了这些问题,网站所有者将其退回到原始开发人员那里寻求解释。
我最好朋友的弟弟刚刚完成学业。几天前他向周围的人宣称他是一个“网站管理员”和“网络开发人员”。我告诉他,他的网站不好,不安全。 “砍他们”他回答。 10分钟后,我把他的4个网站的全部源代码发给了他:) 他在做类似< ?包括$ _GET['公司');? >”
你越厚脸皮,就越容易受到攻击:)
我的一家公用事业公司在他们的信用卡表单中没有使用自动完成="off"。
当然,他们不会存储你的信用卡信息(一件好事),但想象一下当我支付第二个月的账单时,我有多害怕,我的浏览器竟然为我填写整个信用卡号码……