你见过的最糟糕的安全漏洞是什么?为了保护罪犯,限制细节可能是个好主意。
不管怎样,这里有一个关于如果你发现了安全漏洞该怎么办的问题,还有一个关于如果公司(似乎)没有回应该怎么办的问题。
当前回答
我曾经打电话给一个BBS,它在首页上有一个“Drop To DOS”选项。菜单上没有列出来,但我打错了,无意中找到了。
然后我可以远程访问这家伙的DOS命令行。
其他回答
默认登录凭据,特别是当是admin/root和密码时。
我将分享一个我创造的。种。
多年、多年、多年以前,我工作的公司需要在他们的ASP网站上建立索引。所以我去设置索引服务器,排除了一些管理目录,一切都很好。
然而,我不知道有人给了一个销售人员ftp访问网络服务器,这样他就可以在家工作,这是拨号的日子,这是他交换文件的最简单的方式....他开始上传东西,包括详细说明我们服务....标记的文档当人们搜索“成本”时,索引服务器就会索引并开始提供服务。
记住,孩子们,白名单不是黑名单。
最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容,而不是将其清空。这样,当你在公共计算机上注册表单时,就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。
我相信很少有低安全性的网站,用户的密码和登录信息可以很容易地被管理员访问。
In the 1970's Stanford had IBM 2741 hardcopy terminals spread around campus networked to an IBM 360/67. Account passwords were three characters. During logon, the password prompt would overprint a three-position blob of about nine random uppercase characters, so the subsequently-typed password would supposedly be masked by the blob. However, everyone typed their passwords in lowercase, which were trivial to discern against the uppercase background blob. That meant you could usually walk up to any terminal, peruse the hardcopy typically left behind by the previous user, and easily logon with their account and password.
在文本框中输入1=1将列出系统中的所有用户。
推荐文章
- JavaScript:客户端验证与服务器端验证
- ASP。NET身份的默认密码散列器-它是如何工作的,它是安全的?
- 主体、使用者和主体之间的意义和区别是什么?
- 阻止人们入侵基于php的Flash游戏高分表的最佳方法是什么
- 在php中生成一个随机密码
- java.util.Random和java.security. securerrandom的区别
- Docker和安全密码
- 准备好的语句如何防止SQL注入攻击?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
