The worst security hole I've seen was from a (very very bad) hosting company. And even worse it was just some months ago (summer 2010)! You had to first connect to your hosting package control panel (you needed valid credentials). Once logged in all you had to change was the id GET token from the URL and voilà, you're in the control panel of another user! You have access (save/edit/delete) to emails, files, databases. The ids were sequential so you only have to do +1 and you're in the next account. I hope someone have been fired for this!

这是我和他们一起经历过的众多WTF之一!幸运的是，我不是他们的顾客!

作为一个以应用程序安全顾问为生的人，有很多常见的问题让你通过一些东西来管理网站。但真正酷的是你可以买到价值一百万美元的袜子。

这是我的一个朋友的工作，但它的真实情况是，某个现在非常流行的在线图书(和其他所有东西)商店的商品价格被存储在HTML本身作为一个隐藏字段。在早期，这个漏洞困扰了许多在线商店，他们刚刚开始了解网络。几乎没有安全意识，谁会下载HTML，编辑隐藏字段，然后重新提交订单呢?

当然，我们把价格改为0，并订购了100万双袜子。你也可以改变价格为负，但这样做使他们的后端计费软件缓冲区溢出结束交易的一部分。

如果我可以选择另一个，那就是web应用程序中的路径规范化问题。能够执行foo.com?file=../../../ etc/passwd真是太棒了

从早期的在线商店来看:

在购物车的数量栏输入.1即可获得9折优惠。软件正确地将总成本计算为.1 * cost，人工包装订单只是忽略了包装数量前面的奇数“.”:)

这里可能有一点轶事故事(但因为这是我发现的最糟糕的安全漏洞)…

有一家公司向许多公司/组织(不幸的是包括我们)出售定制CMS(用于网站)。他们使用了相当多的(主要是“LGPL”)他们自己没有制作的组件。很多客户(包括政府)。

正确处理了访问网站不同部分(以及CMS管理系统)的身份验证。 他们在CMS中使用了FCKEditor实例(允许非html保存的用户编辑网页)。 他们还使用FCKEditor的“上传连接器”脚本，允许用户添加文档，图像等。到现场。这个脚本的url是硬编码在一个公开可见的javascript包含中。 他们无法对带有上传脚本的url进行身份验证。

结果:在他们建立的每个网站上，用户都可以(不需要输入任何凭据)修改/删除/更改/上传网站上的每一个文档/文件和/或图像。

我们一发现这个漏洞就立即报告了，所以它可能不会导致直接损害(但很容易)。

2007年，一家相当大的机构的国防部网站出现了错误配置，导致IIS web服务器提供原始代码，主页中有硬编码的用户名/密码和数据库服务器信息。幸运的是，它很快就被抓住了，但我确实目睹了它，这非常令人震惊。不用说，他们的网站被网络工程师关闭了，直到开发人员修复了糟糕的代码。

我所见过的最糟糕的漏洞是web应用程序中的一个漏洞，即提供空用户名和密码将以管理员身份登录。