你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
我曾在一家销售点公司工作。他们的软件 很多披萨店都用过。
由客户决定是否更改默认密码。 默认信息在用户手册和手册中打印 这样的。:)
几个在披萨店工作的孩子 我猜他们没有更改根密码(Unix/Linux 基于系统)。然后他们去买他和他的 朋友免费送披萨到他家近一个月 在披萨店注意到之前一年。这让我发笑 每次我想到那份工作。:)
其他回答
在我以前工作的店里有个不错的。通往非公共区域的门有小键盘,所以你必须输入pin码才能进入。然而,你只需按#,门就会打开,这是我们喜欢的事实,因为按#比按6位pin码容易得多。
我曾经有幸尝试保护一个网站(ASP Classic),该网站“需要”密码才能访问管理界面。当然,如果你只是去其中一个管理页面的地址,你可以做任何你想做的,登录与否。
他们想知道自己是怎么被黑的。
我所见过的最糟糕的安全漏洞实际上是由你们公司编写的,导致谷歌机器人删除了我的整个数据库。
当我第一次学习经典ASP时,我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天,我移动到一个新的服务器,忘记重新保护IIS中的目录(哎呀)。
博客主页有一个指向主管理界面的链接,主管理界面为每条记录都有一个DELETE link(没有确认)。
有一天,我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站,恶意删除了所有的记录。
我从日志中发现:谷歌机器人爬了站点,跟踪管理链接,然后继续跟踪所有的DELETE链接,从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。
谢天谢地,我有备份。
我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。
不用说,网站没过多久就倒闭了。没有在线备份,所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。
我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是
if (password.equals(requestpassword) || username.equals(requestusername))
{
login = true;
}
太糟糕了,一个操作员就有这么大的不同。