你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
默认登录凭据,特别是当是admin/root和密码时。
其他回答
public class AuthenticationServlet extends HttpServlet
{
private String userName;
private String password;
protected doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException
{
userName = request.getParameter("userName");
password = request.getParameter("password");
authenticateUser(userName,password);
......
}
}
显然,正如有人在自动化负载测试中发现的那样,单例和缺乏同步会导致安全问题。
因为用户名和密码是相同的,这是发生在生产网站而不是测试版本。
简单地说
exec unchecked_parameter_from_the_web
在Python中解析用户给出的字典字面量。那真的很可怕。
XSS是我喜欢在网站上找到的东西。
下面是我的发现日志的链接:
所有:http://xssed.com/archive/author=Dr.Optix
只有特色菜:http://xssed.com/archive/special=1/author=Dr.Optix/
祝你浏览愉快!
在我尝试的一个免费网络主机上,用“忘记密码”的方法将密码发送给你时出现了一个逻辑错误——如果你没有输入电子邮件地址(辅助电子邮件是可选的),它会将主地址的密码通过电子邮件发送给每个没有提供辅助电子邮件的用户。
一天,我和其他数百人收到一封电子邮件,里面有数百个用户名和密码,密码都是明文。
推荐文章
- 阻止人们入侵基于php的Flash游戏高分表的最佳方法是什么
- 在php中生成一个随机密码
- java.util.Random和java.security. securerrandom的区别
- Docker和安全密码
- 准备好的语句如何防止SQL注入攻击?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
- SecureString在c#应用中实用吗?
- 浏览器会通过https缓存内容吗
- 在git存储库中处理密码的最佳实践是什么?
