你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
当我13岁的时候,我的学校为学生开设了一个社交网络。不幸的是,我发现了一个安全漏洞,可以将URI更改为另一个用户id,如“?”userID=123”,并为该用户登录。显然,我告诉了我的朋友们,最后学校的社交网络充满了色情。
不过我不推荐。
其他回答
挪威的一家披萨外卖公司有一个安全漏洞,你可以在他们新的闪亮的互联网门户网站上订购负数量的披萨,并免费得到披萨。
我曾经接手了一个系统的开发,这个系统在全国有200个客户在使用,它有硬编码的密码。是的,代码实际上写着:
if password = "a"
去年,我离开了一家汽车ERP公司,该公司数百个客户的服务器上都有相同的管理密码。我猜我走后他们没有全部换掉。
高中时,实验室正在运行windows的早期版本。政府在一项安全计划上花费了大量资金。
负责实验室的先生来找我,让我绕过系统看看它是否安全。“没关系,你不会有麻烦的。”
我重新启动,按f8,当它问我是否要加载安全程序时,按N,然后Y到其他所有东西上。
事实上,只要使用文件/进程十六进制编辑器,就可以在大多数未加密的应用程序或文件上绕过安全性或预期功能。当然,在大多数游戏(在线或离线)中给自己无限的金币或上帝模式是很棒的,但它也很棒,只是抓取或编辑你想要的值,包括密码。事实上,有时候你只需要记事本。幸运的是,记事本不在DMCA联邦控制的计算机应用程序名单上…然而。
编辑:我指的是利用“皇帝的新衣”场景,用最简单的工具识别安全缺陷。这种场景在任何语言或平台的编程或消费者社区中都很常见,甚至可以成为通用标准。
因为用户名和密码是相同的,这是发生在生产网站而不是测试版本。