你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
最近,我被要求对一家公司的网站进行代码审查,希望我的雇主把这个网站作为一个维护项目。
我没花多长时间就发现了网站根目录下的纯文本文件,其中包含大约6000个客户的信用卡详细信息,包括账单名称、地址和CVV代码。它的名字甚至都没有想象力!
这是该网站最糟糕的问题,但它也充满了SQL注入问题。
我们礼貌地指出了这些问题,网站所有者将其退回到原始开发人员那里寻求解释。
其他回答
我记得申请大学的通用应用程序网站有这个“安全”功能,它宣布将在一定时间后注销你。但是,他们使用了一个警告框,如果你没有真正回应,就会暂停倒计时,使你的会话无限期。
我之前至少有一个同事可能符合这个条件。
有一家银行通过其网站提供一些服务。开发人员考虑了任何作为整个系统的有效用户登录的人,他们使用URL来识别账号,因此只需更改URL上的ID,就可以查看其他账户的余额。
对于认为身份验证和授权是一回事的web开发人员来说,这是非常糟糕的。
此外,银行不通过其网站转账也很好,否则有些人会很富有;-)
一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同,其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号),你就可以修改他们的密码。
简单地说
exec unchecked_parameter_from_the_web
在Python中解析用户给出的字典字面量。那真的很可怕。