你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。

不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。


当前回答

我工作的公司有很多安全错误……下面是一些比较糟糕的例子:

所有的前雇员仍然拥有所有东西的活跃账户,即使是那些被解雇或关系不好的人 我们开发的每个站点(200多个)都有相同的管理员用户名和密码,所有在这里工作的员工都知道

史诗般的失败。

其他回答

我所见过的最糟糕的安全漏洞是,人们在firefox账户上不使用主密码,即使他们让它保存了所有的密码。这意味着任何能拿到你账户文件的人都能窃取你所有的密码。使用主密码。

我见过缓冲区溢出,可以(理论上)通过传真输出。

有一个自动的文件路由过程,它将传真作为输入,对它们进行OCR并提取一些信息,然后在此基础上进行LDAP搜索,等等。 不知道这是不是“最糟糕的”,但肯定让我笑了。

在这里根据记忆来解释,但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初,他不愿意相信我,甚至他的浏览器都有这个不可靠的“查看源代码”功能。

一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同,其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号),你就可以修改他们的密码。

我所见过的最糟糕的漏洞是web应用程序中的一个漏洞,即提供空用户名和密码将以管理员身份登录。