你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
想到这一点,我所见过的最糟糕的安全漏洞是当管理电子门锁的人说“你是什么意思,锁不知道公共假日”?
是的,每个周一到周五都是公共假日,因为门系统已经安装好了,我看到前门在08:00-17:30没有锁。
其他回答
我最近看到的最大安全漏洞是iOS 4 (iPhone)的锁屏漏洞,允许任何人立即访问任何iPhone(打电话、地址簿、通话记录、照片)。
http://www.pcworld.com/article/208813/ios_4_lock_screen_security_flaw_grants_access_to_contacts.html
有一次我有……创造性的差异……在我帮助建立的一个社区网站上,另一个编码器添加了一个新的PHP文件,该文件列出了审批队列中的文件,该文件还具有删除每个文件的链接。
不幸的是,这个脚本使用了整个通过模糊实现安全的概念。
不知何故,一个网络爬虫发现了这个页面,并跟踪了所有的删除链接。
不用说,修改元数据或删除文件的脚本现在需要登录。
附注:我与此无关,甚至不知道这个脚本的存在,直到当时的一位工作人员告诉我发生了什么。实际上,我现在又在为这个网站工作了,部分原因是为了确保这样的事情不会再发生。
去年,我发现我所在的公司用来处理支票/报表的网站充满了SQL注入漏洞。
不用说,他们很快就把洞补好了。
我继承了一个客户项目来照看:一个ASP。网项目 (构建于1.1),其中50%是编译DLL(没有编译DLL) 源代码)和50%的JIT编译后代码。
整个网站应该只对会员开放——除了 原来的开发人员已经建立了一个后门:只需提交 用空白的用户名和密码登录表单,你就会 找到自己作为一个秘密的超级管理员登录:做 什么都看,什么都看。
您猜对了:所有的身份验证代码都被隐藏了 在预编译的DLL中。最糟糕的是当我 被告知“它不在bug列表中,那么客户端呢? 不会付钱,所以离开它”。我照做了,现在还在直播 今天。
我所见过的最糟糕的安全漏洞是,人们在firefox账户上不使用主密码,即使他们让它保存了所有的密码。这意味着任何能拿到你账户文件的人都能窃取你所有的密码。使用主密码。