你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

我将分享一个我创造的。种。

多年、多年、多年以前,我工作的公司需要在他们的ASP网站上建立索引。所以我去设置索引服务器,排除了一些管理目录,一切都很好。

然而,我不知道有人给了一个销售人员ftp访问网络服务器,这样他就可以在家工作,这是拨号的日子,这是他交换文件的最简单的方式....他开始上传东西,包括详细说明我们服务....标记的文档当人们搜索“成本”时,索引服务器就会索引并开始提供服务。

记住,孩子们,白名单不是黑名单。

其他回答

一个在线文档管理器怎么样,它允许设置你能记住的所有安全权限……

直到你进入下载页面……download.aspx吗?documentId = 12345

是的,documentId是数据库ID(自动递增),您可以循环每个数字,任何人都可以获得所有公司文档。

当这个问题被提醒时,项目经理的回答是:好的,谢谢。但之前没有人注意到这一点,所以就让它保持现状吧。

我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说,网站没过多久就倒闭了。没有在线备份,所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

意外地将数据库根密码提交给源代码控制。这很糟糕,因为它是Sourceforge上的源代码控制。

不用说,密码很快就改了。

在我工作的一个网站上,他们使用用户名和密码作为组合主键。用户名自动是您的姓,不需要唯一。

这就只剩下一件独一无二的事情了…

我最好朋友的弟弟刚刚完成学业。几天前他向周围的人宣称他是一个“网站管理员”和“网络开发人员”。我告诉他,他的网站不好,不安全。 “砍他们”他回答。 10分钟后,我把他的4个网站的全部源代码发给了他:) 他在做类似< ?包括$ _GET['公司');? >”

你越厚脸皮,就越容易受到攻击:)