你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
我曾经做过一份工作,其中有一个用Java代码编写的安全层,用于检查用户是否有权编辑DB表列。这是函数的样子:
public boolean canEdit(User user, DBColumn column) {
if(true) {
return true;
} else {
return false;
}
}
其他回答
login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword
这发生在一个非常大的网站上。当我看到这个的时候,我惊呆了。
我不想承认这一点。但是有一天,当我没有存储库的管理密码时,我发现了如何破解VSS 2005(讨厌的部分是不得不使用VSS:D)
如果您创建了一个具有管理权限的本地计算机帐户,该帐户与VSS帐户具有相同的名称,并登录,VSS会提示:
"Hey great .. you are logged on to the computer with an account name that
I recognize as being the same as one of my accounts,
and your account has admin privileges on the computer ..
so I am going to bypass *my* security and give you admin
privileges to all of VSS!!!!"
那次黑客攻击是我在谷歌上看到的第一个链接,当时我试图破解VSS密码
当然,它不会提供您所缺少的VSS密码
我以前的学校有学生的密码和他们的用户名一样,加上很容易得到他们的用户名(一个数字,例如123233),然后你可以点击添加列,找到学生的名字和姓氏,以及他们的用户名。因此,很容易在他们的账户中随机放入垃圾,让他们认为“机器里有鬼”。
这不是安全漏洞,而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)
这是关于“安全登录”的页面为合作伙伴。是这样的:
第一次你通过电子邮件获得明文密码,一旦你登录,你当然不会在第一屏幕上阅读废话,你只是跑去找你要找的东西(文档或软件),然后注销。
但这里有个技巧,下次你尝试登录时,你的密码不再有效,因为你应该有新密码,他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后,他们给我发了大约30个列举的一次密码列表,我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)
所以我打印了这个密码列表,贴在我桌子前的墙上,每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。
谁能忘记Windows 98的经典安全漏洞呢?
复制密码文本*********并将其粘贴到文字处理器中,就会显示几乎任何东西的密码。