你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

在登录时,有一个隐藏的字段,让“网站管理员”选择成功和失败时要包含的文件。

是的,/etc/password工作了。

或者在“log”目录中,有order-xxx。order-xxx.txt包含卡号,包括检查号和验证日期。

其他回答

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了,一个操作员就有这么大的不同。

两个系统之间的“统一登录”——这暴露了密码为免费文本.........在url中!!

这是一个“离岸”的政府项目。幸运的是,它很早就被注意到了。可怕的是开发人员并没有看到这么多的问题-真的让你怀疑。

按下Windows 98登录屏幕上的取消按钮,你就可以进入系统了。

在我工作的一个网站上,他们使用用户名和密码作为组合主键。用户名自动是您的姓,不需要唯一。

这就只剩下一件独一无二的事情了…

你知道你一直读到一家大公司如何让他们的客户的个人身份被盗吗?(事实上,据我所知,这种情况在我身上发生过两次——一次是在我的健康保险公司,一次是在我的人寿保险公司)这通常是由于窃取了数据库备份磁带,这些磁带是未加密的,读取了存储在其中的未加密的个人信息。