Was ist die schlimmste Sicherheitslücke, die Sie je gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu begrenzen, um die Schuldigen zu schützen.
Hier ein kleiner Einblick in die Frage was zu tun ist, wenn man eine Sicherheitslücke findet, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen (scheinbar) nicht antwortet.
Es gibt eine Cloud-Rendering-Bibliothek lizenziert für $2500 mit begrenzter Arbeitszeit (wie eine Minute) bis registriert. Und eine Evaluierungsdemo, die unbegrenzt funktioniert. Die Suche nach dem Wort "Demo" in der exe-Datei ergab "[Produktname] Demo" und eine Zeichenfolge mit Hexadezimalzeichen in der Nähe. Ja, das waren Login und Passwort.
Ich habe einen Pufferüberlauf gesehen, der (theoretisch) über ein Fax verbreitet werden könnte.
Es gab ein automatisches Dokumenten-Routing-Verfahren, das Faxe als Input nahm, sie OCR-verarbeitete und einige Informationen extrahierte und dann auf dieser Grundlage LDAP-Suchen durchführte usw. Ich weiß nicht, ob man das als "das Schlimmste" bezeichnen kann, aber es hat mich auf jeden Fall zum Schmunzeln gebracht.
Hier ist eine, die ich noch nicht allzu oft erwähnt habe. Es handelt sich um einen sehr validen Sicherheitsfehler, der die meisten Anmeldeformulare plagt. Ich habe ihn vor fast einem Jahrzehnt entdeckt.
Ich habe an der Universität von Toronto studiert, wo es ein System namens ROSI gab, mit dem die Studenten ihre Gebühren und Kurseinschreibungen verwalten konnten. Es gab auch zwei öffentliche Terminals im allgemeinen Sitzungsbereich, die nur die ROSI-Website anzeigten, und die Studenten konnten ihre Studenten-ID und ihr Passwort eingeben, um sich einzuloggen und ihre Sachen zu verwalten.
Nachdem sich ein Benutzer jedoch abgemeldet hatte, konnte man am Terminal die Alt-Links-Taste im Browser drücken, um zum Anmeldeformular zurückzukehren, und dann die Alt-Rechts-Taste, um einen Schritt weiterzugehen, und dann auf Aktualisieren klicken. An diesem Punkt würde der Browser Sie fragen, ob Sie die erneute Übertragung der Formulardaten bestätigen möchten, und wenn Sie auf "Ja" klicken, würden die Anmeldedaten des vorherigen Benutzers erneut übertragen und Sie würden sich anmelden.
Die meisten Anmeldeformulare sind immer noch anfällig für diese Art von Angriffen. Die Lösung besteht darin, eine post/redirect/get oder einen Nonce-Schlüssel zu verwenden.
Ich habe mich mehrmals bei der Verwaltung meiner Universität beschwert, aber ich glaube nicht, dass sie das Problem behoben haben, zumindest nicht, bis ich meinen Abschluss gemacht und die Universität verlassen habe. Das war so um 2002.
Die chinesische Filtersoftware Grüner Damm Auf der offiziellen Website sind die Informationen über den Mod_status des Servers für die Öffentlichkeit zugänglich.
Für Neugierige:
http://www.lssw365.net/server-status
Aus irgendeinem Grund sollten Sie kurz nach dem Laden die Stopptaste drücken, sonst heißt es aus irgendeinem Grund "connection reset"...
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
