你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
我想这是我亲眼见过的最糟糕的一次。在很久以前(20世纪80年代末),我用COBOL编程了一台IBM 370,后来换成了4341。在一个缓慢的日子里,我在查看文档时发现了一个命令,可以让你搜索磁盘上的所有内容。
所以我搜索我的密码。然后找到了。发现附近所有人的密码。
如果我没记错的话,密码限制在6个字符以内,而且不区分大小写。我不记得当时自己的密码了,但我永远不会忘记系统管理员的密码;这完全符合他的性格。休息日。
其他回答
瑞典的一家在线dvd租赁店在查询字符串中发送了纯sql语句。
如果你在菜单框中选择了“Comedy”类别,它会将“select * from movies where category=2”作为查询字符串发送给movielist-frame,然后执行sql语句并显示所有符合条件的电影。
在您的订单中添加电影时也是如此。
只要将查询更改为“从电影中删除*”和“从订单中删除*”,该公司就会大获成功。
我所见过的最糟糕的是信用卡、个人识别码和姓名以纯文本形式存储。我差点心脏病发作了。
一些验证码是这样的:
public bool charsEquals(char[] input, char[] txt)
{
for (int i = 0; i < Math.min(input.length; txt.length); ++i)
{
if (input[i] != txt[i]) return false;
}
return true;
}
像这样使用它:
if (charsEquals(inputPassword, requestedPassword))
看了YouTube上关于Tux和比尔·盖茨之战的搞笑视频后,我开始思考这个问题。当Tux没有密码进入微软大楼时。
我曾经忘记删除“管理员登录页面”。该页面只是绕过LDAP登录并获得所有权限。它可以对客户的银行账户做任何事情。我非常非常担心。幸运的是,没有人知道URL。
我的一个朋友是通过GET登录的。不用说,他吸取了惨痛的教训。