Was ist die schlimmste Sicherheitslücke, die Sie je gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu begrenzen, um die Schuldigen zu schützen.
Hier ein kleiner Einblick in die Frage was zu tun ist, wenn man eine Sicherheitslücke findet, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen (scheinbar) nicht antwortet.
Das Unternehmen, für das ich arbeite, hat so viele Sicherheitsfehler... Hier sind einige der schlimmsten:
Episches Versagen.
Während einer Zeit, in der ich... kreative Differenzen... mit einer Gemeinschaftssite hatte, an deren Aufbau ich beteiligt war, fügte einer der anderen Programmierer eine neue PHP-Datei hinzu, die Dateien in der Genehmigungswarteschlange auflistet und die auch einen Link zum Löschen jeder Datei enthält.
Leider nutzte dieses Skript das gesamte Konzept der Sicherheit durch Unklarheit.
Irgendwie hat ein Web Crawler diese Seite gefunden und ist allen Lösch-Links gefolgt.
Es versteht sich von selbst, dass Skripte, die Metadaten ändern oder Dateien löschen, jetzt eine Anmeldung erfordern.
P.S. Ich hatte nichts damit zu tun und wusste nicht einmal von der Existenz dieses Skripts, bis mir einer der damaligen Mitarbeiter erzählte, was passiert war. Ich arbeite jetzt wieder für diese Website, auch um sicherzustellen, dass so etwas nicht mehr passiert.
Bei meiner ersten Stelle begann ich als Praktikantin in der IT-Sicherheitsabteilung. Meine Aufgabe war es, den Netzwerk- und Anwendungszugriff auf verschiedene Benutzerkonten zu automatisieren, da jeder Benutzer in verschiedene Abteilungen/Rollen wechselte. Dabei hatte ich Zugang zu einigen grundlegenden Tools wie Query Analyzer und ein paar Datenbanken, aber nicht viel mehr. Das Unternehmen hielt im Allgemeinen alles unter Verschluss, so dass es immer wieder Berechtigungen zurückzusetzen und zu vergeben gab.
Am Ende der Woche war eine Schaltfläche verfügbar, die dem angemeldeten Benutzer die Anzahl der in der Woche geleisteten Arbeitsstunden und den Betrag, den er in der Woche erhalten würde, anzeigte.
Aus purer Langeweile stolperte ich eines Tages über das Verzeichnis, in dem sich die kleine Zeiterfassungsanwendung im Netzwerk befand, und stellte fest, dass es neben der EXE nur eine weitere Datei in diesem Verzeichnis gab, eine settings.ini Datei.
Und tatsächlich, nach dem Öffnen der Datei war der Verbindungsstring in leuchtendem Klartext zu sehen: Benutzer, Passwort, Datenbankname, Server und so weiter.
Zu diesem Zeitpunkt dachte ich, dass dies auf keinen Fall die echten Informationen sein würden, aber nachdem ich den Query Analyzer gestartet und die Ini-Einstellungen eingegeben hatte, war ich in der Hauptproduktionsdatenbank, die alle Daten enthielt, die man jemals für eine Gehaltserhöhung benötigen würde. Voller Lese- und Schreibzugriff, um zu booten.
Schließlich zeigte ich meinem Chef eine Abfrage, wer was gemacht hat, und er sagte mir ruhig, ich solle sie an den Direktor der Personalabteilung weiterleiten.
Ich kann Ihnen sagen, dass ich noch nie in meinem Leben eine schnellere, persönliche Antwort auf eine E-Mail erhalten habe.
Als ich am nächsten Tag zur Arbeit kam, hatte die Zeiterfassungsanwendung ein Update, und leider nicht mehr settings.ini Datei.
Der Bruder meines besten Freundes hat gerade sein Studium beendet. Vor ein paar Tagen behauptete er gegenüber allen, er sei ein "Webmaster" und "Webentwickler". Ich habe ihm gesagt, dass seine Seiten schlecht und unsicher sind. "Hackt sie", antwortete er. 10 Minuten später schickte ich ihm den gesamten Quellcode seiner 4 Websites :) Er machte etwas wie
< ? include $\_GET\['inc'\]; ? >"Je frecher du bist, desto anfälliger bist du für Angriffe :)
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
