it-swarm.com.de

Schlimmste Sicherheitslücke, die Sie je gesehen haben?

Was ist die schlimmste Sicherheitslücke, die Sie jemals gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu beschränken, um die Schuldigen zu schützen.

Für das, was es wert ist, ist hier eine Frage , was zu tun ist, wenn Sie eine Sicherheitslücke finden, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen nicht antwortet (scheint) .

413
si618

Da der Benutzername und das Kennwort identisch sind und dies für die Produktionswebsite und nicht für eine Testversion der Fall war. alt text

3
Elzo Valugi

Vor einiger Zeit gab es eine Sicherheitslücke in den Fenstern der JPG-Bildbibliothek. Infiziert durch das Bild in der E-Mail. ack

3
BЈовић

Auf einer Website, an der ich gearbeitet habe, verwendeten sie den Benutzernamen und das Passwort als kombinierten Primärschlüssel. Der Benutzername war automatisch Ihr Nachname und muss nicht eindeutig sein.

Was nur eines übrig lässt, das einzigartig sein könnte ...

3
Mike Robinson

Es gibt eine Cloud-Rendering-Bibliothek, die für 2500 US-Dollar lizenziert ist und deren Arbeitszeit (beispielsweise eine Minute) bis zur Registrierung begrenzt ist. Und Evaluierungs-Demo, die auf unbestimmte Zeit funktioniert hat. Durch die Suche nach exe-Inhalten nach einem Wort "demo" wurden "[Produktname] Demo" und eine hexadezimale Zeichenfolge in der Nähe angezeigt. Ja, das war Login und Passwort.

3
alxx

Eine Sicherheitslücke, die mich erschüttert, besteht in einer alten Anwendung, die ich einmal gewartet habe. Es gab eine settings.ini-Datei mit den Datenbankanmeldeinformationen im Nur-Text-Format, und alle Benutzerkennwörter werden in der Datenbank im Nur-Text-Format gespeichert.

Die meisten anderen Sicherheitslücken, die ich gesehen habe, waren an meiner High School und am College.

Zunächst stellte ich fest, dass ich das Internet für meine Schule einfach durch einen (sehr einfachen) Ping-Flutangriff schließen könnte. Und nicht nur das Internet meiner High Schools, sondern das gesamte Schulsystem einschließlich eines Teils der Hochschule. Es gab absolut keine Ratenbegrenzung. Sie haben es repariert, nachdem ich es demonstriert hatte. (Als Randnotiz, die "Werbung", die mich dazu brachte, bei meinem ersten Programmierjob eingestellt zu werden)

Die zweite und eine, die viel mehr Möglichkeiten hatte, war diese:

Ok, also war jeder Computer in der Schule mit einer Domain und so verbunden. Wenn Sie sich also an einem Computer angemeldet haben, kopiert er ein allgemeines Benutzerverzeichnis (einschließlich Anwendungsdaten usw.) und fährt dann mit der Anmeldung fort. Einige Leute hatten aus dem einen oder anderen Grund ihre eigenen Logins außer dem allgemeinen "Studenten" -Konto. Nun, während ich auf dem öffentlichen Server war, auf dem alles geteilt wurde, fand ich ein /users Verzeichnis. Als ich es mir ansah, entdeckte ich aus einem allgemeinen Studentenkonto heraus, dass ich in jedes Benutzerverzeichnis, einschließlich Lehrer, Administrator und dem allgemeinen Studentenkonto, Lese- und Schreibzugriff hatte.

Für Aprilscherze hatte ich geplant, eine einfache Batch-Datei oder ein kleines Programm zu schreiben, das so etwas wie Class of 09 rocks! beim einloggen von allen nur um es zu demonstrieren, aber ich habe mich durchgedreht .. ich habe es auch dem administrator nie gesagt, also ist die klaffende sicherheitslücke wahrscheinlich noch da.

3
Earlz

Wenn Sie Ihr Passwort und das Wiederherstellungsformular verloren haben, fragen Sie nach dem Benutzernamen und Ihrer E-Mail-Adresse. Und überprüft die E-Mail nicht und sendet das Passwort an die angegebene E-Mail.

edit/story:

Es war auf einer lokalen TV-Bezahl-/Abonnement-basierten Website. Es war leicht, den Benutzernamen zu finden, und jeder andere benutzte den Vornamen. Heute ist der Fernsehsender bankrott gegangen (aus anderen Gründen, wie mangelnder Professionalität).

3
user457015

Ich erinnere mich, dass die Common App-Website für die Bewerbung an Colleges über diese "Sicherheitsfunktion" verfügte, die ankündigte, dass Sie sich nach einer bestimmten Zeit abmelden würden. Aber dazu benutzten sie eine Warnbox, die, wenn Sie nicht wirklich antworteten, den Countdown unterbrach und Ihre Sitzung auf unbestimmte Zeit verlängerte.

3
wag2639

Die schlimmste Sicherheitslücke, die ich jemals gesehen habe, war die, die in eine frühere Version von MS SQL Server, Version 7.0 oder 2000, eingebaut wurde und an die ich mich nicht genau erinnern kann.

Bei der Installation dieser Version von SQL Server würde das Installationsprogramm dem Konto "sa" standardmäßig ein leeres Passwort geben !!! (Das sa-Konto ist das SQL-Administratorkonto, es kann alles auf dem Server tun.)

Dies gab grundsätzlich jedem Zugriff auf einen SQL-Server, der nicht durch eine Firewall geschützt war.

Aber es wird schlimmer.

Zu diesem Zeitpunkt wurden viele SQL Server installiert, um den Dienst unter der Authentifizierung "Lokales System" auszuführen, sodass der SQL Server-Prozess uneingeschränkte Kontrolle über das System hat.

Da Sie in SQL Server COM-Objekte erstellen können, hatten Sie plötzlich vollständigen Zugriff auf den Computer, auf dem der SQL Server ausgeführt wurde.

Viele Websites wurden auf diese Weise gehackt.

3
Pete

Vor Jahren hatte eine Schule eine Lernplattform-Website mit der Möglichkeit, .PHP-Dateien auf die Website hochzuladen, die Sie anschließend ausführen konnten, sodass Sie uneingeschränkt auf die gesamte Website zugreifen konnten. Wurde von keinem anderen Studenten entdeckt und ich denke, dass dieser Fehler immer noch vorliegt.

3
Tamara Wijsman

Wir hatten einen alten Computercluster, der nicht in einem der Labore lief, in denen ich gearbeitet habe. Ein paar Studenten dachten, es würde Spaß machen, ihn zum Laufen zu bringen, damit sie etwas paralleles Rechnen lernen können. Nun, sie haben es zum Laufen gebracht und es stellte sich als ziemlich nützlich heraus.

Eines Tages kam ich herein und überprüfte die Statistiken ... Es lief zu 100%. Dies war ein Cluster mit 24 Knoten, und es gab nur drei von uns, die ihn jemals verwendet haben. Es war also etwas seltsam, dass er mit dieser Last lief. Ich fing an, damit zu spielen, um herauszufinden, was es lud ... es stellte sich heraus, dass jemand Zugang dazu hatte und es als ihren eigenen kleinen Pornoserver und Spammer benutzte. Ich fragte die Studenten, welche Sicherheitsvorkehrungen sie getroffen hätten, sie sahen mich an und sagten: "Sicherheitsvorkehrungen? Wir dachten nicht, dass sie welche brauchen würden."

Ich habe ein Passwort draufgeworfen und das war's. Die Person, die es als Pornoserver benutzte, erwies sich als Freund eines der Studenten.

3
Nope

Ich habe einen Pufferüberlauf gesehen, der (theoretisch) per Fax ausgeblendet werden könnte.

Es gab einen automatischen Prozess zum Weiterleiten von Dokumenten, bei dem Faxe als Eingabe, OCR-Eingabe und Extrahieren von Informationen sowie darauf basierende LDAP-Suchvorgänge usw. verwendet wurden Kichern.

3
MK.

Ich habe auf einer Einkaufswebsite gestöbert und bei der Eingabe meiner E-Mail-Adresse festgestellt, dass die Adresseingabeseite nur die URL "? NOrderID = 301" enthält.

Steig dann aus. Ich ändere diese Zahl auf 99 und weißt du was? Ich bekomme den Namen, die Adresse und die Telefonnummer einer Dame, die in Bend, OR wohnt.

Ich habe vor ein paar Wochen eine E-Mail an den Site-Administrator gesendet, und er hat sich nicht sehr darüber gefreut, aber es wurde immer noch nicht behoben ...

Das und für eine Weile war das Unternehmen, in dem ich für die gesamte Mitarbeiterinformationsliste arbeite (alles über den Mitarbeiter von der Adresse bis zur SSN bis zur Bezahlung), in einer passwortgeschützten Access-Datenbank gespeichert.

Verwenden Sie Ihre bevorzugte Suchmaschine, und lesen Sie nach, wie Sie die Kennwörter für die Zugriffsdatenbank wiederherstellen können. Ja.

Ziehen Sie es in this und Sie erhalten das Passwort. Ein Wörterbuch mit fünf Buchstaben.

3
Davis

Hier ist eine, die ich nicht oft gesehen habe. Es ist eine sehr gültige Sicherheitslücke, die die meisten Anmeldeformulare plagt. Ich habe es vor fast einem Jahrzehnt entdeckt.

Ich habe an der University of Toronto studiert, wo sie ein System namens ROSI hatten, mit dem die Studenten ihre Gebühren und Kursanmeldungen verwalten können. Sie hatten auch zwei öffentliche Terminals im Hauptversammlungsbereich, die nur die ROSI-Website zeigten, und die Studenten konnten ihren Studentenausweis und ihr Passwort eingeben, um sich anzumelden und ihre Sachen zu verwalten.

Nachdem sich ein Benutzer abgemeldet hat, können Sie das Terminal betreten und im Browser die Alt-Links-Taste drücken, um zum Anmeldeformular zurückzukehren. Drücken Sie dann die Alt-Rechts-Taste, um nur eine Seite weiterzumachen, und klicken Sie dann auf Aktualisieren. Zu diesem Zeitpunkt werden Sie vom Browser aufgefordert, das erneute Posten der Formulardaten zu bestätigen. Wenn Sie auf Ja klicken, werden die Anmeldedaten/Passdaten der vorherigen Benutzer erneut gepostet und Sie werden angemeldet.

Die meisten Anmeldeformulare sind weiterhin für diese Art von Angriffen anfällig. Die Lösung besteht darin, ein post/redirect/get auszuführen oder einen Nonce-Schlüssel zu verwenden.

Ich habe meinem Universitätsadministrator viele Male eine E-Mail darüber geschickt, aber ich glaube nicht, dass sie das Problem behoben haben, bis ich irgendwann meinen Abschluss gemacht habe und gegangen bin. Dies war circa 2002.

3
aleemb

Ein Peer hat einmal versehentlich sein Passwort getwittert ... das war eine ziemlich schlechte Sicherheitslücke.

3
Jeff Wilcox

Es gab einen Ort, an dem der Administrator die Home-Verzeichnisse aller Benutzer in einem freigegebenen FAT32-Ordner eingerichtet hat.

  • Was bedeutete, dass Sie die Dateien anderer Benutzer lesen, schreiben und entfernen konnten.
3
mikek3332002

Vor ein paar Jahren schenkte mir ein Freund einen alten Axtkopf, den er gefunden hatte, in der Hoffnung, dass ihm gesagt wurde, es handele sich um ein uraltes Artefakt. Eine Suche bei Google nach einer Website, die mir bei der Identifizierung helfen könnte, hat mir einen Link zu einer Museumswebsite in den Midlands (Großbritannien) gegeben.

Mit Ausnahme der Seite, auf der ich abgelegt wurde, habe ich die vollständigen Administratorrechte für die gesamte Site erhalten. Da ich ein verantwortungsbewusster Typ bin, habe ich den Namen des Kontoinhabers geändert, nur damit sie wissen Ich habe keinen Müll geredet und ihnen eine E-Mail geschickt, in der sie vorschlagen, dass sie das Loch stecken, in das ich hineingelassen habe. bevor es jemand Bösartigeres fand.

Unnötig zu erwähnen, dass ich eine sehr dankbare E-Mail vom Seiteninhaber erhalten habe, der vom Entwickler versichert worden war, dass der Fehler gefunden und behoben worden war. Obwohl Sie sich über die Fähigkeiten von jemandem wundern müssen, der das nachlässig ist.

3
njplumridge

In signiertem Code:

System.setSecurityManager(null);

(Sie können dafür die Google-Codesuche verwenden.) Entfernt alle Java) Sicherheitseinschränkungen aus dem gesamten Code, der im Prozess ausgeführt wird. Möglicherweise nicht sehr gut durchdacht.

Dies ist lange her ... aber das VAX-System von DEC wurde früher mit folgenden Konten ausgeliefert:

login: SYSTEM Passwort: MANAGER

und Login: FELD Passwort: SERVICE

Die meisten Systemadministratoren würden das SYSTEM-Konto kennen und die meisten (aber nicht alle) würden es ändern. Allerdings wusste nicht jeder etwas über das FIELD-Konto, das auch SYSTEM-Berechtigungen hatte.

3

Eine "gesicherte" Website, auf der alle Seiten außer der Anmeldeseite verschlüsselt wurden!

3
Nicolas Buduroi

Auf einigen Unix-Rechnern (sicherlich allen SunOS-Rechnern) können Sie ein setuid-Shell-Skript mit einer Datei namens "-i" verknüpfen. Das Shell-Skript interpretiert den Dateinamen als erstes Argument und führt "sh -i" = eine interaktive Shell mit der Erlaubnis des Besitzers der setuid-Datei aus.

Da die meisten setuid-Shell-Skripte als root ausgeführt wurden, sollten Sie die Erlaubnis erhalten, etwas zu tun, das root-Zugriff erfordert, z. B. eine CD auswerfen oder ein Band laden. Dies bedeutete, dass es trivial war, in den neunziger Jahren Administratorrechte für die meisten Unix-Universitätsmaschinen zu bekommen.

2
Martin Beckett

XSS ist das, was ich gerne auf einer Website finde.

Hier ist ein Link zu einem Protokoll meiner Ergebnisse:

Alle: http://xssed.com/archive/author=Dr.Optix

Nur die Specials: http://xssed.com/archive/special=1/author=Dr.Optix/

Viel Spaß beim Stöbern!

2
Dr.Optix

Die offizielle Website der chinesischen Filtersoftware - Green Dam hat Server-Mod_status-Informationen, die öffentlich zugänglich sind.

Für die Neugierigen:

http://www.lssw365.net/server-status

Aus irgendeinem Grund möchten Sie vielleicht kurz nach dem Laden die Stopp-Taste drücken, oder es wird nur angezeigt, dass die Verbindung aus irgendeinem Grund zurückgesetzt wurde ...

2
Aaron Qian

Das ganze Classic ASP Warenkorb "Comersus". Das Ganze ist ein Durcheinander von Spaghetti-Code und alle SQL-Anweisungen sind reif für SQL-Injection, da überhaupt keine Filterung durchgeführt wird. Leider hatte ich die Das Unglück, fast zwei Jahre lang mit dieser "Anwendung" umgegangen zu sein, war ein absoluter Albtraum!

2
Wayne Molina

Ich hatte einmal das Vergnügen, zu versuchen, eine Site (ASP Classic) zu sichern, die ein Passwort für den Zugriff auf die Administrationsoberfläche "benötigt". Wenn Sie nur die Adresse einer der Admin-Seiten aufgerufen haben, können Sie natürlich tun, was Sie möchten, angemeldet oder nicht.

Und sie fragten sich, wie sie gehackt wurden.

2
Ryan Kinal

Als Hinweis für alle Leser, informiert oder anderweitig: Ich habe gerade ein 800-seitiges Copyright-Buch zu diesem Thema von einem Major gekauft Detail, dass mehr als ein Sicherheitsexperte mit umfangreichen Qualifikationen und Erfahrung vor Ort umstritten war, weil er Eindringlinge gesehen hatte, die relativ neu aussahen.

Wenn man es als scheinbar harmlos einstuft, würde es wegen unerlaubter Handlung zu einem förmlichen Verfahren kommen. Als Profi waren einige von ihnen ruiniert.

Die letzte Störung, der ich mich widmete, betraf einen großen Bankdienst, der schon so lange besteht, dass die Bürger ihren Markennamen selten hören. Alle Daten waren im gesamten Shop unverschlüsselt verfügbar - aber seltsam für die Uninformierten ist, dass diese Bank ein "Clearing House" für (ich kenne keine Statistiken, aber es ist mehr als die Hälfte) die Abwicklung von Kreditkartentransaktionen für wurde mehr als ein Anbieter von Retail-Markenkrediten.

Die Eindringlinge platzierten gerade ein (Gerät) am Abwurf. [das ist Telekommunikation für die Leitung von der Welt zum Zeitpunkt des Einstiegs] Keine ausgeklügelten oder ausgefeilten Tools zur Verkehrsüberwachung, nur die Basis. Ich schlage vor, dass jeder die gesamte Kreditaktivität seit Februar dieses Jahres überwacht: Was gewonnen wurde, waren gültige CC-Nummern, die mit gültigen Namen auf derzeit aktiven und gültigen Kreditkonten abgeglichen wurden.

Beispiellos.

Wie üblich ist es die Person, die keine Erfahrung mit Sicherheit besitzt und einen Laden von einer Position aus führt, die der Geschäftsführung unterstellt ist. Der technische Begriff lautet "Fehlermöglichkeitsanalyse" ...

2
Nicholas Jordan

Unsere Telefone bei der Arbeit.

Sie müssen sich mit Ihrer 4-stelligen ID anmelden, dann auf # drücken und Ihr 4-stelliges Passwort gefolgt von # eingeben. Wenn Sie jedoch kein Kennwort und keine Push-Nummer eingeben, werden Sie angemeldet.

Failphone schlägt fehl.

2
Ondrej Slinták

Vor kurzem wurde ich gebeten, eine Unternehmenswebsite per Code zu überprüfen, um sicherzustellen, dass mein Arbeitgeber die Website als Wartungsprojekt aufnimmt.

Es dauerte nicht lange, bis ich die Klartextdatei gefunden hatte, die sich unter dem Stammverzeichnis der Website befand und ungefähr 6.000 Kreditkartendaten von Kunden enthielt, einschließlich Rechnungsname und -adresse sowie CVV-Code. Es war nicht einmal einfallsreich benannt!

Das war das schlimmste Problem mit dieser Site, aber es gab auch Probleme mit der SQL-Injection.

Wir haben höflich auf diese Probleme hingewiesen, und der Eigentümer der Website hat sie dem ursprünglichen Entwickler zur Erklärung zurückgesandt.

2
Moo

In einem Login für gab es ein verstecktes Feld, in dem der "Webmaster" die Datei auswählte, die bei Erfolg und Misserfolg eingefügt werden sollte.

Ja,/etc/password hat funktioniert.

Oder in einem "Protokoll" -Verzeichnis gab es order-xxx.asc UND order-xxx.txt, die Kartennummern einschließlich Schecknummer und Validierungsdatum enthielten.

2
Aif

Sie wissen, wie Sie die ganze Zeit darüber lesen, wie einem großen Unternehmen der persönliche Ausweis seines Kunden gestohlen wurde? (Und in der Tat ist es mir zweimal passiert, von dem ich weiß - einmal von meiner Krankenkasse, einmal von meiner Lebensversicherung) Dies ist häufig darauf zurückzuführen, dass ich die unverschlüsselten Sicherungsbänder der Datenbank gestohlen und die darin gespeicherten, nicht verschlüsselten persönlichen Informationen gelesen habe.

2
HLGEM

'Unified Login' zwischen zwei Systemen - die das Passwort als Freitext enthüllten ......... IN DER URL !!

Dies war ein Regierungsprojekt, das "verlagert" worden war. Zum Glück wurde es v. Früh bemerkt. Das Beängstigende ist, dass die Entwickler kein so großes Problem damit gesehen haben - man wundert sich wirklich.

2
UpTheCreek

Ich habe einmal die Entwicklung eines Systems übernommen, das von 200 Kunden im ganzen Land verwendet wurde und fest codierte Passwörter hatte. Ja, der Code sagte tatsächlich:

if password = "a"

Und letztes Jahr habe ich ein Automobilunternehmen ERP verlassen, dessen Hunderte von Kunden alle dasselbe Administratorkennwort auf ihren Servern haben. Ich vermute, sie haben sie nicht alle geändert, nachdem ich gegangen bin.

2
SteveCav

Ich habe gehört, dass Turbo Tax Ihre SSN bei der elektronischen Übermittlung Ihrer Rücksendung als reine Textdatei gesendet hat. Das scheint keine gute Idee zu sein.

Ich kenne auch ein Unternehmen, das Kreditkarteninformationen in Klartext-CSV-Dateien auf dem Desktop speichert. Sie werden dann per FTP an das Zahlungsgateway gesendet.

2
Matt

UNIX-Anmeldebildschirme sind SO EINFACH zu reproduzieren ... :)

2
Diego Sevilla

Web-App auf IIS gab es nein Datei-Upload-Filter. Also könntest du exe hochladen und smf spaß machen;)

1
lfx

Als ich in der Mittelschule war, hat das Schulsystem des Landkreises all seine "Sicherheits" -Software eingerichtet, um die Kinder von Teilen des Internets fernzuhalten oder Konfigurationseinstellungen zu ändern und Müll zu installieren. Abgesehen von der Tatsache, dass die Software ziemlich marginal war (einige Shell-Änderungen, die mit einem klugen Rechtsklick in einem Feld Datei> Speichern umgangen werden konnten), setzten sie das Lehrerkennwort auf teach.

Ja, das war echt sicher.

1
fennec

Ich habe viele Kundenprojekte gesehen, die an den Support gesendet wurden und die IP-Adressen, Benutzernamen und Kennwörter für Live-SQL Server-Datenbanken enthielten.

1
DevExpress Team

Als ich eine Bankangestellte-Software testete, rief ich den technischen Schalter an, um eine Einwähl-IP-Sitzung zu vereinbaren. "Mit welchem ​​System möchten Sie sich verbinden, produzieren oder testen?"

Wahre Geschichte.

1
user207421

Ich habe einmal vergessen, die Anmeldeseite für Administratoren zu löschen. Die Seite wurde nur umgangen LDAP Login und alle Berechtigungen erhalten. Es könnte alles mit dem Bankkonto des Kunden tun. Ich war so besorgt. Zum Glück kennt niemand die URL.

1
Bonshington

Besuchen Sie die Kontaktseite eines bekannten Online-Shops und scrollen Sie nach unten, um nach einer Telefonnummer zu suchen. Stattdessen fand ich ein Upload-Formular, das alle Dateitypen akzeptierte und die hochgeladenen Dateien tatsächlich in den Stammordner der Website legte. Das bedeutet, dass eine Datei mit dem Namen test.php Über die URL mydomain.com/test.php :)

Da sie osCommerce (Open Source) verwendeten, war es für alle, die genug IQ hatten, um Dinge zu googeln, weniger als fünf Minuten Zeit, ein Skript zusammenzustellen, mit dem alle Details zur Datenbankverbindung abgerufen und anschließend die vollständige Kundendatentabelle heruntergeladen werden konnten.

Ich habe sie kontaktiert und am Ende einen Rabatt-Gutschein für meinen nächsten Einkauf erhalten. Sie haben das Upload-Formular innerhalb weniger Minuten entfernt.

1
Industrial

Ein Unternehmen, das Computer verkaufte, ließ mit FrontPage eine Website erstellen, auf die alle Benutzer uneingeschränkt zugreifen konnten.

1
JeffO

Nachrichten Überschrift, die im Geiste dieses Threads ist ... auf der heutigen Titelseite von /.
ISP sendet eine Kundendatenbank an Tausende

1
Chad

Die größte Sicherheitslücke war die, als der Webentwickler das Anmeldeformular für ein offenes Kennwortfeld entwarf. Das Passwortfeld zeigt an, was Sie eingegeben haben, ohne es auszublenden. Auf diese Weise können Sie bei der Anmeldung auf öffentlichen Computern sehen, was Sie in das Kennwortfeld eingegeben haben. Viele Websites haben ein solches Anmeldeformular.

Ich bin mir sicher, dass es nur wenige Websites mit geringer Sicherheit gibt, auf die Administratoren problemlos über das Kennwort und die Anmeldungen von Benutzern zugreifen können.

1
Mahesh

Ich habe von einem Programmierer gehört, der bei einer Bank arbeitet und dessen Interna (einschließlich Kontostand) mit einer Genauigkeit von 16 Stellen nach dem Komma berechnet hat.

Also änderte dieser Typ das Überweisungsverfahren, um 0,00001 Dollar jeder Transaktion auf sein eigenes Konto zu überweisen, der Rest an den ursprünglichen Bestimmungsort. Ich denke, sie haben ihn ziemlich schnell gefunden, aber ich muss zugeben, dass ich seine Idee ziemlich gut fand, als ich zum ersten Mal davon hörte.

1
phimuemue

Das Schlimmste, was ich je gesehen habe, waren Kreditkarten, PINS und Namen, die im Klartext gespeichert wurden. Ich hatte ungefähr einen Herzinfarkt.

1
jschorr

Standardanmeldeinformationen , insbesondere wenn es sich um admin/root und Passwort handelt.

1
Martin Spamer

Ich würde sagen, dass die schlimmste Sicherheitslücke darin besteht, Ihre Umgebung und Tools von Drittanbietern nicht zu kennen/zu verstehen, wenn Sie sie in Ihr Programm aufnehmen.

Ein Beispiel aus der Praxis, warum:

An zwei verschiedenen Schulen, die ich besuchte, verwendeten sie ein Netzwerk, das von Software von Drittanbietern verwaltet wurde und auf Windows stand. Ein solches Tool überwachte den Speicherplatz auf der Festplatte, und wenn Sie zu Ende waren, wurden Sie gewarnt und aufgefordert, Dateien zu löschen oder auf eine Diskette zu kopieren.

Aber ... Sie hatten eine Hilfe, die den Standard-Windows-Hilfe-Viewer verwendete !!!

Um die Überprüfung der Abmeldung zu umgehen, müssen Sie nur den Netzschalter drücken - ein Herunterfahren anstelle der Abmeldung führt zum Herunterfahren der Anwendung!

Zum Umgehen der Anmeldung mussten Sie lediglich die Hilfe öffnen und im Dateinamen auf File> Open klicken. Dann gab es eine Reihe verschiedener Dinge ...

Du könntest C:\Windows, einmal geladen, tippe *.*, dann können Sie mit der rechten Maustaste auf Explorer.exe und wähle open und ziehe das Kästchen aus dem Weg/der unteren Ecke ... und wenn du den Computer herunterfährst, keine Probleme!

Sie können den Task-Manager öffnen und die Anwendung einfach schließen.

Sie können ein Excel-Dokument (oder ein beliebiges Office-Programm) öffnen, ein Makro starten und tun, was Sie wollen!

Also ... ich würde sagen, dass diese Firma albern war, da sie verschiedene Probleme in anderen Programmen hatte, die sie gemacht haben, aber dies war die größte und sie konnte einfach umgangen werden, weil sie die Windows-Hilfe verwendeten, ohne die Auswirkungen zu bemerken.

1
Wil
"select * from LoginMaster where UserId='" + txtUserId.Text + "' 

                           and Password='" + txtPassword.Text + "';"

Ich habe dies auf einer Produktionswebsite gesehen, auf der das MLM-Geschäft läuft. Die obige SQL-Anweisung ist SEHR SEHR anfällig für SQL-Injection.

Ich werde auch hier auflisten HACME BANK. Laut der Website ist Hacme Bank:

Die Hacme Bank ™ soll Anwendungsentwicklern, Programmierern, Architekten und Sicherheitsexperten das Erstellen sicherer Software beibringen. Die Hacme Bank simuliert eine Online-Banking-Anwendung mit Webservices, die mit einer Reihe bekannter und häufig auftretender Sicherheitslücken erstellt wurde. Auf diese Weise können Benutzer echte Exploits für eine Webanwendung ausführen und so die Besonderheiten des Problems und die beste Vorgehensweise zur Behebung des Problems kennenlernen. Die von der Hacme Bank bereitgestellten Webdienste werden von unseren anderen Testanwendungen verwendet, einschließlich Hacme Books und Hacme Travel.

1
MRG

Die Tatsache, dass Sie die Sicherheit oder die beabsichtigte Funktionalität bei den meisten unverschlüsselten Anwendungen oder Dateien häufig ganz umgehen können, indem Sie einfach einen Datei-/Prozess-Hex-Editor verwenden. Sicher, es ist großartig, sich in den meisten Spielen in den unendlichen Gold- oder Gott-Modus zu versetzen - online oder offline, aber es ist auch großartig, nur die gewünschten Werte zu erfassen oder zu bearbeiten, einschließlich Passwörtern. In der Tat ist manchmal alles, was Sie brauchen, Editor. Zum Glück ist Notepad noch nicht auf der Liste der vom US-Bundesstaat kontrollierten Computeranwendungen unter DMCA ....

Bearbeiten: Ich beziehe mich auf das Ausnutzen des Szenarios "Emperor's New Clothes" mit dem Erkennen von Sicherheitsmängeln mit nur einfachsten Werkzeugen. Ein Szenario, das in der Programmier- oder Konsumentengemeinschaft in jeder Sprache oder Plattform so verbreitet ist, dass es auch ein universeller Standard sein könnte.

1

Ein Bestätigungscode wie dieser:

public bool charsEquals(char[] input, char[] txt)
{
    for (int i = 0; i < Math.min(input.length; txt.length); ++i)
    {
        if (input[i] != txt[i]) return false;
    }
    return true;
}

Und benutze es so:

if (charsEquals(inputPassword, requestedPassword))

Als ich mir das komische YouTube-Video über den Kampf zwischen Tux und Bill Gates ansah, dachte ich darüber nach. Als Tux das Microsoft-Gebäude betrat , ohne Passwort .

1

Wie wäre es mit der Veröffentlichung Ihres ELMAH-Fehlerprotokolls im Internet?

0
Billy Coover

Kontrolliert nicht den logischen Operator (OR) im Passwort-Dateneingabeelement. Wenn man es benutzt, kann jeder leicht den anderen passieren, wo es nötig ist. Für lautet die Auswahlabfrage wie folgt:

select *
from TheTable
where [email protected] And [email protected] OR 1=1
0
odiseh

Ein Freund von mir hat sich über GET eingeloggt. Natürlich hat er die Lektion auf die harte Tour gelernt.

0
user372743
  1. Ich wollte mein Verdienst beim Supervisor für mein ziemlich fortgeschrittenes Grafikprogramm unter SunOS/Solaris mit aktiviertem Instant Messaging verdienen, bei dem mit zephyr.vars oder wie auch immer es heißt, Sie ein Bild auf dem Bildschirm Ihres aufgelisteten Freundes erscheinen lassen könnten, als ob Sie es zugelassen hätten Ich könnte Ihnen einfach ein Bild schicken, das auf Ihrem Display erscheint. Während ich das von mir geschriebene Programm vorführte, damit der Supervisor es mir gutschreiben konnte, ließ einer meiner Freunde, der in der Nähe oder im Nebenzimmer saß, das Foto big-mama.xxx auf meinem Bildschirm erscheinen. Aufgrund des Vorfalls kam es zu keiner Diskussion oder Bestrafung, und ich bekam Anerkennung für das Projekt, das eine halbe Sekunde lang so programmiert war, dass big-mama.xxx angezeigt wurde, anstatt das Problem zu lösen.

  2. (Früher) Ich habe Perl-Skripte aktualisiert und darauf gewartet, dass Sysadmin die Änderungen widerspiegelt, um die FW zu entfernen. Dann war die Datenbank weg und es war kein Fehler, es war eine Funktion, da die Daten mit der Quelle gespeichert wurden und daher das Aktualisieren der Quelle die Persistenz löschte.

Physischer Zugriff oder das Simulieren einer Anmeldeaufforderung oder eines Anmeldebildschirms sind zwei weitere schwierige Fälle, ohne dass Algorithmen zu technisch sind. Es ist leicht zu verstehen, dass ein physischer Zugriff viele Möglichkeiten bietet und das Simulieren einer Anmeldeaufforderung auf vielen verschiedenen Computertypen möglich ist Umgebungen.

0

Letztes Jahr entdeckte ich, dass die Website, auf der unsere Schecks/Kontoauszüge für das Unternehmen, für das ich arbeitete, gehandelt wurden, mit SQL-Injection Lücken durchsetzt war.

Unnötig zu erwähnen, dass sie ihre Löcher ziemlich schnell reparierten.

0
CitizenBane

Eine Anwendung, die Gesichter und ManagedBeans verwendet. Das Bean, mit dem der bereits angemeldete Benutzer bearbeitet wurde, wurde dasselbe vom Selbstregistrierungsformular verwendet, wobei zwei versteckte Felder den einzigen Unterschied darstellten. Bedeutung? Wenn Sie die Dokumentennummer einer Person erhalten (entspricht der SSN in den USA), können Sie deren Passwort ändern.

0
Alfabravo

In PHP war dies in der ersten Include-Datei:

extract($_GET);
extract($_POST);

Es erlaubte das Überschreiben von Variablen, die nicht von _GET oder _POST aufgerufen wurden.

Ein Freund von mir wusste einmal von einer Site, die SQL-Abfragen als GET-Argumente übergeben hat. Sie wissen, einige Leute hatten Spaß damit.

0
GSto

Die schlimmste Sicherheitslücke, die ich gesehen habe, war von einem (sehr, sehr schlechten) Hosting-Unternehmen. Und noch schlimmer ist, dass es erst einige Monate her ist (Sommer 2010)! Sie mussten zuerst eine Verbindung zu Ihrem Hosting-Paket-Control-Panel herstellen (Sie benötigten gültige Anmeldeinformationen). Einmal eingeloggt war alles, was Sie ändern mussten, das id GET-Token von der URL und voilà, Sie befinden sich im Control Panel eines anderen Benutzers! Sie haben Zugriff (Speichern/Bearbeiten/Löschen) auf E-Mails, Dateien, Datenbanken. Die IDs waren fortlaufend, sodass Sie nur +1 tun müssen und sich im nächsten Konto befinden. Ich hoffe, dafür wurde jemand gefeuert!

Es war eine der vielen WTF, die ich mit ihnen erlebt habe! Zum Glück war ich keiner ihrer Kunden!

0
AlexV

Meine alte Schule hatte die gleichen Passwörter wie der Benutzername des Schülers. Außerdem war es einfach, die Benutzernamen (eine Nummer, ex 123233) abzurufen. Dann konnte man die Spalte hinzufügen drücken und den Vor- und Nachnamen des Schülers sowie den Namen herausfinden ihre Benutzernamen. So war es einfach, zufälligen Müll in ihre Konten zu stecken und sie glauben zu lassen, es sei ein "Geist in der Maschine".

0
Matt S.

Wer kann die klassische Sicherheitslücke von Windows 98 vergessen?

Wenn Sie den Kennworttext kopieren und in ein Textverarbeitungsprogramm einfügen, wird Ihnen das Kennwort für so gut wie alles angezeigt.

0
Jrud

Ich habe mindestens einen früheren Mitarbeiter gehabt, der sich wahrscheinlich als solcher qualifiziert hat.

0
jaywon