你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
当我13岁的时候,我的学校为学生开设了一个社交网络。不幸的是,我发现了一个安全漏洞,可以将URI更改为另一个用户id,如“?”userID=123”,并为该用户登录。显然,我告诉了我的朋友们,最后学校的社交网络充满了色情。
不过我不推荐。
其他回答
最近,我被要求对一家公司的网站进行代码审查,希望我的雇主把这个网站作为一个维护项目。
我没花多长时间就发现了网站根目录下的纯文本文件,其中包含大约6000个客户的信用卡详细信息,包括账单名称、地址和CVV代码。它的名字甚至都没有想象力!
这是该网站最糟糕的问题,但它也充满了SQL注入问题。
我们礼貌地指出了这些问题,网站所有者将其退回到原始开发人员那里寻求解释。
谁能忘记Windows 98的经典安全漏洞呢?
复制密码文本*********并将其粘贴到文字处理器中,就会显示几乎任何东西的密码。
我曾经接手了一个系统的开发,这个系统在全国有200个客户在使用,它有硬编码的密码。是的,代码实际上写着:
if password = "a"
去年,我离开了一家汽车ERP公司,该公司数百个客户的服务器上都有相同的管理密码。我猜我走后他们没有全部换掉。
我曾经黑过Novel Login (DOS提示)。我写了一个C程序来模拟登录提示符,并将登录/密码写入文件,并输出无效的密码。
我在大学时代过得很开心。
我曾经在一个名为ROL的本地互联网门户网站上发现了一个漏洞。RO(罗马尼亚在线-当时由PCNET拥有)。他们有一个免费的网络邮件系统。我想要一个特定的用户名(很容易猜到是哪个),但它已经被占用了。
出于好奇,我进入了“忘记密码”页面,输入了我想要的(但已被占用的)用户名。然后,在提交时,我看到了一个空白的安全问题。
哇……让我们看看他们是不是很差劲。我确保答案文本框为空,然后提交
“恭喜你,输入你的新密码”。
我输入了密码,劫持了账户。
可能发生在他们的…PHP脚本是他们比较从数据库(在答案-当然他们保持在明文)的空字符串提交我。让它们“相等”引导我进入下一步,重置密码。
是的,站不住脚的。