你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

挪威的一家披萨外卖公司有一个安全漏洞,你可以在他们新的闪亮的互联网门户网站上订购负数量的披萨,并免费得到披萨。

其他回答

我见过很多客户项目,这些项目都包含IP地址、用户名和SQL server数据库的密码。

我通过更改ServerFault beta访问cookie的域进入http://dev.superuser.com/。(他们现在已经修好了)

最近,我被要求对一家公司的网站进行代码审查,希望我的雇主把这个网站作为一个维护项目。

我没花多长时间就发现了网站根目录下的纯文本文件,其中包含大约6000个客户的信用卡详细信息,包括账单名称、地址和CVV代码。它的名字甚至都没有想象力!

这是该网站最糟糕的问题,但它也充满了SQL注入问题。

我们礼貌地指出了这些问题,网站所有者将其退回到原始开发人员那里寻求解释。

UNIX文本登录屏幕是如此容易复制…:)

我曾经忘记删除“管理员登录页面”。该页面只是绕过LDAP登录并获得所有权限。它可以对客户的银行账户做任何事情。我非常非常担心。幸运的是,没有人知道URL。