你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

一些验证码是这样的:

public bool charsEquals(char[] input, char[] txt)
{
    for (int i = 0; i < Math.min(input.length; txt.length); ++i)
    {
        if (input[i] != txt[i]) return false;
    }
    return true;
}

像这样使用它:

if (charsEquals(inputPassword, requestedPassword))

看了YouTube上关于Tux和比尔·盖茨之战的搞笑视频后,我开始思考这个问题。当Tux没有密码进入微软大楼时。

其他回答

有一个地方,管理员在共享FAT32文件夹中设置了所有用户的主目录。

这意味着您可以读取、写入和删除其他用户的文件。

严格地说,这不是一个安全漏洞,更多的是一个“功能”,许多新手服务器管理员当时并不知道/关心。

在1999-2001年间,我玩Frontpage玩得很开心,解锁了安装在公共网站上的Frontpage服务器扩展。

当你安装了Frontpage后,你会在ie浏览器中看到这个很好用的“编辑Frontpage”按钮。

当访问一个网站,例如www.foo.com,如果你点击“编辑在Frontpage”按钮在Internet Explorer和服务器管理员没有正确地完成他们的工作,然后Frontpage愉快地打开虚拟目录的完整目录结构,并允许你阅读/编辑内容。

从一个人的乐队到更大的公共组织,这种方法在许多网站上都有效。

当我发现一个开放的服务器时,我总是给“网站管理员”发一封电子邮件,有一次我从一家在线零售商那里得到了一张50英镑的礼券,因为我提醒了他们这一点。

真是令人震惊。

免责声明-我需要指出的是,Frontpage是在标准构建PC上,我是在那些天,不是我自己的选择!

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录,但如果你点击了一个特定网站的链接,你就会自动以默认用户登录。

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了,一个操作员就有这么大的不同。

你知道你一直读到一家大公司如何让他们的客户的个人身份被盗吗?(事实上,据我所知,这种情况在我身上发生过两次——一次是在我的健康保险公司,一次是在我的人寿保险公司)这通常是由于窃取了数据库备份磁带,这些磁带是未加密的,读取了存储在其中的未加密的个人信息。