你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
"select * from LoginMaster where UserId='" + txtUserId.Text + "'
and Password='" + txtPassword.Text + "';"
我曾在一个经营直销业务的生产网站上看到过这种情况。上面的Sql语句非常非常容易受到Sql注入的攻击。
我还将在这里列出HACME银行。根据网站Hacme银行是:
Hacme Bank™ is designed to teach application developers, programmers, architects and security professionals how to create secure software. Hacme Bank simulates a "real-world" web services-enabled online banking application, which was built with a number of known and common vulnerabilities. This allows users to attempt real exploits against a web application and thus learn the specifics of the issue and how best to fix it. The web services exposed by Hacme Bank are used by our other testing applications including Hacme Books and Hacme Travel.
其他回答
我曾经接手了一个系统的开发,这个系统在全国有200个客户在使用,它有硬编码的密码。是的,代码实际上写着:
if password = "a"
去年,我离开了一家汽车ERP公司,该公司数百个客户的服务器上都有相同的管理密码。我猜我走后他们没有全部换掉。
我所见过的最糟糕的漏洞是web应用程序中的一个漏洞,即提供空用户名和密码将以管理员身份登录。
我曾经黑过Novel Login (DOS提示)。我写了一个C程序来模拟登录提示符,并将登录/密码写入文件,并输出无效的密码。
我在大学时代过得很开心。
中国的过滤软件——绿坝的官方网站将服务器mod_status信息公开供公众娱乐。
好奇的人:
http://www.lssw365.net/server-status
出于某种原因,你可能想在加载后不久按下停止按钮,否则它只是说由于某种原因连接重置…
一个在线文档管理器怎么样,它允许设置你能记住的所有安全权限……
直到你进入下载页面……download.aspx吗?documentId = 12345
是的,documentId是数据库ID(自动递增),您可以循环每个数字,任何人都可以获得所有公司文档。
当这个问题被提醒时,项目经理的回答是:好的,谢谢。但之前没有人注意到这一点,所以就让它保持现状吧。
推荐文章
- 在php中生成一个随机密码
- java.util.Random和java.security. securerrandom的区别
- Docker和安全密码
- 准备好的语句如何防止SQL注入攻击?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
- SecureString在c#应用中实用吗?
- 浏览器会通过https缓存内容吗
- 在git存储库中处理密码的最佳实践是什么?
- 支付处理器-如果我想在我的网站上接受信用卡,我需要知道什么?
