你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
“网络编程安全101”风格的最大错误是招聘机构的搜索页面提供了“下一页”链接,这只是获取更多工作列表的SQL语句。您可以轻松地将此URL更改为任何其他SQL语句,包括“drop table X”。如果你这么做了,他们的整个网站都会完蛋。
其他回答
对我来说,情况并没有那么糟糕,因为数据并不是那么敏感:
我得到了一个Excel文件,里面满是要更新的宏,每个表都是锁定的,宏部分有密码保护。我拿到了密码,但我想我还是试着破解一下吧。
我找到了一个程序,可以在大约十分钟内完成,其中大部分时间可能只是下载时间。这个神奇的产品是什么,能如此快速和轻松地突破Excel安全?OpenOffice.Org。
我不确定Office 2007是否在这一点上有所改进,但让我感到害怕的是,许多非技术人员可能正在使用Excel来操作敏感信息,并认为它是安全的。然而,这些类型的人可能甚至不知道它提供的“安全”功能。
谁能忘记Windows 98的经典安全漏洞呢?
复制密码文本*********并将其粘贴到文字处理器中,就会显示几乎任何东西的密码。
我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录,但如果你点击了一个特定网站的链接,你就会自动以默认用户登录。
我个人发现的最糟糕的情况是,在一所大学,所有系统(包括教授办公室)都使用运行X的机器。一台服务器托管了所有这些X会话……
有趣的是,您可以启动一个新的X应用程序(时钟是最受欢迎的,但任何X应用程序都可以工作),并选择显示它的终端。有了一个快速的脚本,你就可以在校园里每个实验室/办公室的每台电脑上启动它……
当然,真正暴露这个安全漏洞的应用程序是一个虚假的shell登录,其中的输入被记录到一个文件中。
它运行了一周,获得了数百名学生和教授的用户名和密码,并产生了一对非常不高兴的管理员。
http://www.metasploit.com/users/hdm/tools/debian-openssl/