Was ist die schlimmste Sicherheitslücke, die Sie je gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu begrenzen, um die Schuldigen zu schützen.
Hier ein kleiner Einblick in die Frage was zu tun ist, wenn man eine Sicherheitslücke findet, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen (scheinbar) nicht antwortet.
Die alten IBM System 36 Dumb-Terminals hatten eine Tastenkombination, mit der die Aufzeichnung eines Makros gestartet wurde. Wenn also ein Terminal nicht angemeldet war, konnte man die Aufzeichnung eines Makros starten und es in dieser Position belassen. Wenn sich das nächste Mal jemand anmeldete, wurden die Tastenanschläge im Makro aufgezeichnet, und die Aufzeichnung endete automatisch, wenn die maximal zulässige Anzahl von Tasten aufgezeichnet war. Kehren Sie einfach später zurück und spielen Sie das Makro erneut ab, um sich selbst anzumelden.
Die schlimmste Sicherheitslücke, die ich je gesehen habe, wurde von mir selbst programmiert und hat dazu geführt, dass der Google Bot meine gesamte Datenbank gelöscht hat.
Damals, als ich zum ersten Mal Classic ASP lernte, programmierte ich meine eigene einfache Blog-Anwendung. Das Verzeichnis mit allen Verwaltungsskripten war durch NTLM auf IIS geschützt. Eines Tages zog ich auf einen neuen Server um und vergaß, das Verzeichnis in IIS erneut zu schützen (oops).
Die Blog-Startseite enthielt einen Link zum Hauptverwaltungsbildschirm, und der Hauptverwaltungsbildschirm enthielt einen LÖSCHEN-LINK für jeden Eintrag (ohne Bestätigung).
Eines Tages fand ich alle Einträge in der Datenbank gelöscht (Hunderte von persönlichen Einträgen). Ich dachte, ein Leser sei in die Website eingebrochen und habe böswillig alle Einträge gelöscht.
Das habe ich aus den Logs herausgefunden: Der Google-Bot hatte die Website gecrawlt, war dem Admin-Link gefolgt und hatte dann alle DELETE-LINKS verfolgt, wodurch alle Einträge in der Datenbank gelöscht wurden. Ich hatte das Gefühl, dass ich die Auszeichnung "Dummkopf des Jahres" verdient hatte, weil ich versehentlich vom Google-Bot kompromittiert wurde.
Zum Glück hatte ich Backups.
Dies ist mir einmal bei der URL einer Website aufgefallen.
http://www.somewebsite.com/mypage.asp?param1=x¶m2=y&admin=0Wenn ich den letzten Parameter auf admin=1 änderte, erhielt ich Admin-Rechte. Wenn Sie sich schon blind auf Benutzereingaben verlassen, dann sollten Sie dies wenigstens nicht ankündigen!
Ich sah dies in Das tägliche WTF .
<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
if (form.id.value=="buyers") {
if (form.pass.value=="gov1996") {
location="http://officers.federalsuppliers.com/agents.html"
} else {
alert("Invalid Password")
}
} else {
alert("Invalid UserID")
}
}
//-->
</script>Das ist IMHO unschlagbar.
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
