Was ist die schlimmste Sicherheitslücke, die Sie je gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu begrenzen, um die Schuldigen zu schützen.
Hier ein kleiner Einblick in die Frage was zu tun ist, wenn man eine Sicherheitslücke findet, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen (scheinbar) nicht antwortet.
In meinem Fall war das nicht so schlimm, weil die Daten nicht so sensibel waren:
Ich erhielt eine Excel-Datei, die voller Makros war, die ich aktualisieren sollte, jedes Blatt war gesperrt und der Makrobereich war durch ein Kennwort geschützt. Man gab mir die Passwörter, aber ich dachte mir, ich könnte auch versuchen, sie trotzdem zu knacken.
Ich habe ein Programm gefunden, das das in etwa zehn Minuten erledigt, und das meiste davon war wahrscheinlich nur die Download-Zeit. Was war das für ein Wundermittel, das die Excel-Sicherheit so schnell und einfach durchbrechen kann? OpenOffice.Org.
Ich bin mir nicht sicher, ob Office 2007 hier Verbesserungen gebracht hat, aber es macht mir Angst, wie viele technisch nicht versierte Personen Excel wahrscheinlich für die Bearbeitung sensibler Daten verwenden und glauben, es sei sicher. Andererseits wissen diese Leute wahrscheinlich nicht einmal, welche "Sicherheits"-Funktionen das Programm bietet.
Ich bin überrascht, dass der Microsoft-WGA-Verifizierungs-Hack noch nicht erwähnt wurde.
Sie können das Steuerelement herunterladen, das Ihre Windows-Kopie überprüft, bevor Sie auf Downloads zugreifen können. Alternativ können Sie die folgende Javascript-Zeile in die Adressleiste einfügen und die Eingabetaste drücken.
javascript:void(window.g_sDisableWGACheck='all')Es sollte den Benutzern ermöglichen, sich einmal zu verifizieren und mehrere Artikel herunterzuladen, aber da es auf der Client-Seite gespeichert wurde, war es leicht zu manipulieren!
Ich hasse es, das zuzugeben aber ich habe eines Tages herausgefunden, wie man VSS 2005 hackt, als ich das Admin-Passwort für ein Repository nicht hatte (der Hass-Teil ist in mit VSS zu verwenden :D )
Wenn Sie ein lokales Computerkonto mit Admin-Rechten erstellen, das denselben Namen wie das VSS-Konto hat, und sich anmelden, sagt VSS:
"Hey great .. you are logged on to the computer with an account name that
I recognize as being the same as one of my accounts,
and your account has admin privileges on the computer ..
so I am going to bypass *my* security and give you admin
privileges to all of VSS!!!!"Dieser Hack war der erste Link, den ich bei Google sah, als ich versuchte, das VSS-Passwort zu knacken
Natürlich erhalten Sie dadurch nicht das VSS-Passwort, das Ihnen fehlt.
Klartextübermittlung der Benutzernamenliste an den Browser für die JavaScript-Autovervollständigung, gekoppelt mit der Möglichkeit, die Benutzerdaten anzuzeigen, indem der URL-Querystring mit der eindeutigen Benutzerkennung, die aus der besagten Autovervollständigungsfunktion ausgelesen werden kann, angepasst wird.
An meiner alten Universität wurden die Passwörter der Benutzer im Klartext in Cookies gespeichert.
Das ist an sich schon schrecklich, aber um die Sache noch schlimmer zu machen, haben sie sie auch noch in Cookies gespeichert. *.university.edu.au . Jetzt sind natürlich alle Seiten der Studenten und des Personals auf etwas wie university.edu.au/~user .
<?php
var_dump($_COOKIE); // oops. CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
