Le pire trou de sécurité que vous ayez vu? [fermé]

Quel est le pire trou de sécurité que vous ayez jamais vu? C'est probablement une bonne idée de garder les détails limitée pour protéger les coupables.

pour ce que cela vaut, voici une question sur ce qu'il faut faire si vous trouvez un trou de sécurité, et un autre avec quelques réponses utiles si une entreprise ne répond pas (semble).

413
demandé sur si618 2009-09-24 09:34:21
la source

30 ответов

dès les premiers jours de magasins en ligne:

obtenir un rabais de 90% en entrant .1 dans le champ Quantité du panier. Le logiciel correctement calculé le coût total .1 * Le coût, et l'emballage humain l'ordre simplement glissé au-dessus de l'Impair "."devant la quantité à emballer:)

646
répondu John Stauffer 2009-09-24 13:25:46
la source

La moins pardonnable trou de sécurité, et malheureusement très commun et facile à trouver, est Google hacking . Exemple concret:

http://www.google.com/search?q=inurl%3Aselect + inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

c'est étonnant combien de pages sur Internet, les sites gouvernementaux en particulier, passer une requête SQL à travers la chaîne de requête. C'est l' la pire forme D'injection SQL, et il ne faut aucun effort pour trouver des sites vulnérables.

avec des modifications mineures, j'ai pu trouver des installations non protégées de phpMyAdmin, des installations non protégées de MySQL, des chaînes de requête contenant des noms d'utilisateurs et des mots de passe, etc.

575
répondu Juliet 2010-10-30 14:57:37
la source

Ingénierie Sociale:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

de bash.org

400
répondu Bob Aman 2009-10-01 02:44:01
la source

histoire Vraie de mes premiers jours à Microsoft.

vous n'avez pas connu la peur jusqu'au jour où vous vous réveillez et voyez le titre sur ZDNet.com ce matin est " "le pire trou de sécurité Internet Explorer jamais découvert dans "Blah " " où "Blah" est le code que vous avez écrit vous-même six mois auparavant.

immédiatement après être arrivé au travail j'ai vérifié les registres de changement et découvert que quelqu'un dans une autre équipe -- quelqu'un que nous fiable pour faire des changements au produit -- avait vérifié mon code, changé un tas de paramètres de clé de registre de sécurité pour aucune bonne raison, vérifié à nouveau, et n'a jamais eu un examen de code ou dit à personne à ce sujet. Jusqu'à ce jour, je n'ai aucune idée de ce qu'il pensait faire sur terre; il a quitté la compagnie peu de temps après. (De son propre chef.)

(mise à JOUR: quelques réponses aux questions soulevées dans les commentaires:

d'abord, notez que je choisis de prendre le position de la bienfaisance selon laquelle les changements de la clé de sécurité étaient involontaires et fondés sur la négligence ou l'ignorance plutôt que sur la malice. Je n'ai aucune preuve d'une manière ou d'une autre, et je crois qu'il est sage d'attribuer les erreurs à la faillibilité humaine.

Deuxièmement, nos systèmes de vérification sont beaucoup plus puissants aujourd'hui qu'ils ne l'étaient il y a douze ans. Par exemple, il n'est plus possible de vérifier le code sans que le système checkin envoie la liste des modifications aux parties intéressées. Dans en particulier, les modifications apportées en retard dans le navire cycle ont beaucoup de "processus" qui garantit que le droit des modifications sont apportées pour assurer la stabilité et la sécurité du produit.)

quoi qu'il en soit, le bug était qu'un objet qui N'était pas sûr pour être utilisé par Internet Explorer avait été accidentellement libéré comme étant marqué "safe for scripting". L'objet était capable d'écrire des fichiers binaires -- des bibliothèques de type Automation OLE, en fait -- à des emplacements de disque arbitraires. Cela signifiait qu'un attaquant pouvait créer une bibliothèque de type qui contenait certaines chaînes de code hostile, la sauver à un chemin qui était un emplacement exécutable connu, lui donner l'extension de quelque chose qui causerait un script à exécuter, et espérer que d'une façon ou d'une autre l'utilisateur exécuterait accidentellement le code. Je ne connais pas d'attaques réussies "dans le monde réel" qui ont utilisé cette vulnérabilité, mais il a été possible de créer un exploit de travail avec elle.

nous avons expédié un patch assez rapidement pour celle-là, laissez-moi vous dire.

j'ai causé et par la suite réparé beaucoup plus de trous de sécurité dans JScript, mais aucun d'entre eux n'a jamais obtenu n'importe où près de la publicité qu'on a fait.

339
répondu Eric Lippert 2009-09-26 07:06:11
la source

j'espère que vous pouvez voir ce qui ne va pas ici. (Terriblement faux, en fait):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Le dernier destinataire était le plus heureux ;)

274
répondu Alex 2010-01-18 01:18:47
la source

l'ancien système IBM 36 terminaux muets avait une combinaison de clavier qui a commencé l'enregistrement d'une macro. Ainsi, lorsqu'un terminal n'était pas connecté, vous pouvez démarrer l'enregistrement d'une macro et le laisser dans cette position. La prochaine fois que quelqu'un se connecte, les frappes sont enregistrées dans la macro et l'enregistrement se termine automatiquement lorsque les touches maximales autorisées sont enregistrées. Revenez plus tard et rejouez la macro pour autolog-in.

alt text

206
répondu Stefan 2017-02-08 17:15:34
la source

le pire trou de sécurité que j'ai jamais vu a été en fait codé par votre serviteur et a causé Le Bot Google pour supprimer toute ma base de données.

quand j'ai commencé à apprendre L'ASP classique, j'ai codé ma propre application de base de blog. Le répertoire avec tous les scripts d'administration était protégé par NTLM sur IIS. Un jour, j'ai déménagé sur un nouveau serveur et j'ai oublié de re-protéger le répertoire dans IIS (oops).

la page d'accueil du blog avait un lien vers l'écran d'administration principal, et l'écran d'administration principal comportait un lien Supprimer pour chaque enregistrement (sans confirmation).

un jour, j'ai trouvé chaque enregistrement dans la base de données supprimé (des centaines d'entrées personnelles). Je pensais qu'un lecteur s'était introduit sur le site et avait effacé chaque disque de manière malveillante.

je suis venu pour savoir à partir des logs: Le Bot Google avait rampé le site, suivi le lien administrateur, et le a procédé à suivre tous les liens supprimer, supprimant ainsi chaque enregistrement dans la base de données. J'ai senti que je méritais le prix du crétin de l'année d'avoir été compromis par le robot de Google.

heureusement j'ai eu des sauvegardes.

204
répondu Matias Nino 2010-10-30 15:09:55
la source

le pire trou que j'ai jamais vu était un bug dans une application web où donner un nom d'utilisateur et un mot de passe vides vous connecterait en tant qu'administrateur:)

187
répondu Kaitsu 2010-10-30 14:59:31
la source

a déjà remarqué cela sur L'URL d'un site web.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

changer le dernier paramètre à admin=1 m'a donné des privilèges admin. Si vous allez faire confiance aveuglément à l'entrée de l'utilisateur au moins ne télégraphiez pas que vous le faites!

174
répondu JohnFx 2009-09-26 10:10:31
la source

j'ai vu celui-ci dans le quotidien WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

rien ne peut battre cet IMHO.

165
répondu Konamiman 2009-10-02 19:47:28
la source

dans une université pas moins, qui restera sans nom, ils ont eu toutes leurs requêtes d'action passant par L'URL au lieu de forme affichée.

la chose a fonctionné un plaisir jusqu'à ce que Google Bot est venu le long et a couru à travers toutes leurs URLs et a effacé leur base de données.

141
répondu Evernoob 2009-09-24 15:19:12
la source

surpris que personne n'a abordé l'ingénierie sociale, mais j'ai obtenu un coup de pied de cet article .

résumé: les utilisateurs malveillants peuvent acheter quelques douzaines de lecteurs flash, les charger avec un virus Auto-run ou troyen, puis sprinkle dit lecteurs flash dans le parking d'une entreprise tard dans la nuit. Le lendemain, tout le monde se présente au travail, tombe sur le matériel brillant, en forme de bonbons, irrésistible et se dit " Oh wow, lecteur flash gratuit, je me demande ce qui est sur c'!"...20 minutes plus tard, le réseau de l'entreprise est piraté.

137
répondu Juliet 2009-09-24 18:15:11
la source

"Pédo mellon, minno" , "Parler ami et entrez", sur les portes de la Moria.

131
répondu Adriano Varoli Piazza 2009-10-02 19:49:17
la source

Microsoft Bob

(Crédit: Dan 20e Siècle Abandonware )

si vous entrez votre mot de passe incorrectement une troisième fois, on vous demande si vous avez oublié votre mot de passe.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

mais au lieu d'avoir la sécurité, comme continuer à demander pour le correct mot de passe jusqu'à ce qu'il soit entré ou vous verrouiller après un certain nombre de tentatives incorrectes, vous pouvez entrer n'importe quel nouveau mot de passe et il remplacera l'original! N'importe qui peut le faire avec n'importe quel mot de passe "protégé" compte Microsoft Bob.

aucune authentification préalable n'est requise. il signifie que L'Utilisateur1 pourrait changer son propre mot de passe simplement en tapant son propre mot de passe par erreur trois fois, puis en entrant un nouveau mot de passe la quatrième fois -- n'ayant jamais à utiliser "changer le mot de passe."

cela signifie également que User1 pourrait changer les mots de passe de User2, User3... exactement de la même manière. N'importe quel utilisateur peut changer le mot de passe de n'importe quel autre utilisateur juste en le dactylographiant trois fois puis en entrant un nouveau mot de passe lorsqu'on lui demande -- et alors ils peuvent accéder au compte.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

103
répondu JohnFx 2009-10-02 02:29:08
la source

J'avais L'ancienne adresse domiciliaire de Joe X, et j'avais besoin de connaître sa nouvelle adresse actuelle dans la même ville, mais je n'avais aucun moyen de le contacter. J'ai pensé qu'il recevait la pile quotidienne habituelle des catalogues de vente par correspondance, donc j'ai arbitrairement appelé le numéro 800 pour voir les bonbons (par opposition à Victoria's Secret, ou colonie Suisse, ou tout autre grand mailer):

moi: "Salut, je suis Joe X. Je pense que vous m'avez inscrit deux fois sur votre liste de diffusion, à la fois à mon ancienne adresse et à ma nouvelle adresse. Faire votre ordinateur me montrer à [ancienne adresse] ou au [adresse fictive]?"

Opérateur: "Non, nous vous montrons à [nouvelle adresse]."

102
répondu joe snyder 2010-06-03 10:55:36
la source

donnant 1=1 dans une boîte de texte liste tous les utilisateurs dans le système.

95
répondu rahul 2009-09-24 09:48:19
la source

être un consultant en sécurité des applications pour une vie Il ya beaucoup de problèmes communs qui vous permettent d'obtenir admin sur un site web via quelque chose. Mais ce qui est vraiment cool, c'est quand on peut acheter des chaussettes pour un million de dollars.

c'était un ami à moi qui travaillait sur ce concert mais le jist of it était que les prix pour les articles dans un certain maintenant très populaire librairie en ligne (et tout le reste) étaient stockées dans le HTML lui-même comme un champ caché. Retour dans les premiers jours de ce bug peu beaucoup de magasins en ligne, ils commençaient tout juste à comprendre le web. Très peu de conscience de la sécurité, je veux dire vraiment qui va télécharger le HTML, éditer le champ caché et soumettre à nouveau la commande?

naturellement nous avons changé le prix à 0 et commandé 1 million de paires de chaussettes. Vous pouvez également changer le prix à négatif, mais en faisant cela a fait une partie de leur débordement de tampon du logiciel de facturation d'arrière-plan mettant fin à la transaction.

si je pouvais choisir une autre solution serait les problèmes de canonisation des chemins dans les applications web. C'est merveilleux de pouvoir faire foo.com?file=../../../../etc/passwd

76
répondu Collin 2009-09-24 14:50:18
la source

Commettre la base de données mot de passe root à la source de contrôle par accident. C'était assez mauvais, parce que C'était le contrôle source sur Sourceforge.

inutile de dire que le mot de passe a été changé très rapidement.

64
répondu Matthew Iselin 2009-09-24 09:59:17
la source

ne pas changer les mots de passe admin lorsque les employés de key IT quittent l'entreprise.

56
répondu Max 2009-09-24 14:27:51
la source

bien que ce ne soit pas le pire trou de sécurité que j'ai jamais vu. Mais c'est au moins le pire que j'ai découvert moi-même:

une boutique en ligne assez réussie pour audiobooks a utilisé un cookie pour stocker les informations d'identification de l'utilisateur actuel après authentification réussie. Mais vous pouvez facilement changer le nom d'utilisateur dans le cookie et accéder à d'autres comptes et acheter sur eux.

50
répondu Gumbo 2009-09-25 16:29:47
la source

au début du .com era, je travaillais pour un grand détaillant à l'étranger. Nous avons observé avec beaucoup d'intérêt nos concurrents lancer une boutique en ligne des mois avant nous. Bien sûr, nous sommes allés à l'essayer... et vite réalisé que nos caddies étaient en train de se confondre. Après avoir joué avec la chaîne de requête un peu, nous avons réalisé que nous pourrions détourner les sessions de l'autre. Avec un bon timing, vous pouvez changer l'adresse de livraison mais laisser le mode de paiement seul... tout ce que après ayant rempli le panier de vos articles préférés.

47
répondu Eric J. 2009-09-24 09:49:05
la source

lorsque je me suis joint à l'entreprise où je travaille actuellement, mon patron regardait le site de commerce électronique existant d'un nouveau client potentiel. C'était à l'époque de L'IIS et du commerce électronique, et la sécurité était, disons, moins que stricte.

pour couper une longue histoire courte, il a modifié une URL( juste par curiosité), et s'est rendu compte que la navigation dans les répertoires n'était pas désactivée, donc vous pouvez juste couper le nom de la page à la fin de l'URL et voir tous les les fichiers sur le serveur web.

nous avons fini par parcourir un dossier contenant une base de données Access, que nous avons téléchargé. Il s'agissait de l'ensemble de la base de données e-commerce client/commande, rempli de plusieurs milliers de numéros de carte de crédit non chiffrés.

45
répondu Mark Bell 2009-10-07 21:42:47
la source

Quand j'avais 13 ans, mon école a ouvert un réseau social pour les étudiants. Malheureusement pour eux j'ai trouvé un bug de sécurité où vous pourriez changer L'URI à un autre nom d'utilisateur comme "?userID=123" et être connecté pour cet utilisateur. Évidemment je l'ai dit à mes amis, et à la fin le réseau social des écoles était rempli de porno.

ne le recommande pas.

44
répondu hannson 2009-09-24 09:43:41
la source

je pense que le champ vide Nom d'utilisateur / mot de passe pour l'accès super-utilisateur est de loin le pire. Mais un que j'ai moi-même vu était

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

dommage qu'un opérateur fasse une si grande différence.

43
répondu Stefan Ernst 2009-10-01 02:03:46
la source

la mienne serait pour une banque dont j'étais client. Je n'ai pas pu me connecter, alors j'ai appelé le service client. Ils m'ont demandé mon nom d'utilisateur et rien d'autre - ils n'ont pas posé de questions de sécurité ou essayé de vérifier mon identité. Puis au lieu d'envoyer un mot de passe réinitialisé à l'adresse email qu'ils avaient dans le fichier, ils m'ont demandé à quelle adresse email l'envoyer. Je leur ai donné une adresse différente de celle que j'avais dans mon dossier, et j'ai pu réinitialiser mon mot de passe.

donc essentiellement, tous un hacker aurait besoin est mon nom d'utilisateur, et il pourrait alors accéder à mon compte. C'était pour une grande banque dont au moins 90% des Américains auraient entendu parler. Cela s'est passé il y a deux ans. Je ne sais pas si c'était un représentant du service à la clientèle mal formé ou si c'était la procédure standard.

42
répondu Sean 2009-09-24 10:29:37
la source

j'en partagerai un que j'ai créé. Genre de.

il y a des années, des années et des années, l'entreprise pour laquelle je travaillais voulait l'indexation sur son site Web ASP. J'ai donc mis en place le serveur Index, exclu quelques répertoires admin et tout s'est bien passé.

cependant inconnu pour moi quelqu'un avait donné à un vendeur accès ftp au serveur web pour qu'il puisse travailler à partir de la maison, c'était l'époque de l'accès commuté et c'était le moyen le plus facile pour lui d'échanger des fichiers.... et il j'ai commencé à télécharger des choses, y compris des documents détaillant la marge sur nos services.... quel serveur index a indexé et a commencé à servir lorsque les gens ont cherché des "coûts".

Rappelez-vous les enfants, les listes blanches pas des listes noires.

36
répondu blowdart 2009-09-24 13:18:53
la source

L'un des plus simples, mais vraiment rentable est:

les systèmes de paiement qui utilisent des moteurs tels que PayPal peuvent être défectueux parce que la réponse de PayPal après le paiement a été réussie n'est pas vérifiée comme il se doit.

par exemple:

je peux aller sur un certain site D'achat de CD et ajouter du contenu dans le panier, puis pendant les étapes de la caisse il ya habituellement un formulaire sur la page qui a été peuplée avec des champs pour paypal, et un bouton "Payer"..

en utilisant un éditeur DOM je peux aller dans le formulaire" live "et changer la valeur de £899.00 à £0.01 et puis cliquer soumettre...

quand je suis sur le côté PayPal des choses que je peux voir que le montant est 1 penny, donc je paie que et PayPal redirige certains paramètres au site d'achat initial, qui ne valide des paramètres tels que payment_status=1 , etc, etc. et ne validez pas le le montant payé.

cela peut être coûteux s'ils ne disposent pas d'une exploitation forestière suffisante ou si les produits sont expédiés automatiquement.

le pire type de sites sont les sites qui fournissent des applications, des logiciels, de la musique, etc.

35
répondu RobertPitt 2010-10-30 14:40:56
la source

Que Diriez-vous d'un gestionnaire de documents en ligne, qui permettait de définir toutes les autorisations de sécurité dont vous pouviez vous souvenir...

jusqu'à ce Que vous avez à la page de téléchargement... télécharger.aspx?documentId=12345

Oui, le documentId était L'ID de la base de données (auto-increment) et vous pouviez boucler chaque numéro et n'importe qui pouvait obtenir tous les documents de l'entreprise.

lorsque le gestionnaire de projet a été alerté pour ce problème, Sa réponse a été: Ok, merci. Mais personne ne l'a remarqué avant, alors gardons-le tel quel.

35
répondu Sergio 2011-11-15 13:56:09
la source

une livraison de pizza norvégienne avait un trou de sécurité où vous pourriez commander négatif quantités de pizzas à leur nouveau et brillant portail internet et les obtenir gratuitement.

34
répondu Johan Benum Evensberget 2009-09-24 20:55:00
la source

Autres questions sur security