Худшая дыра в безопасности, которую вы видели? [закрыто]

From early days of online stores:

Getting a 90% discount by entering .1 in the quantity field of the shopping cart. The software properly calculated the total cost as .1 * cost, and the human packing the order simply glossed over the odd "." in front of the quantity to pack :)

Я думаю, что пустое поле имени пользователя / пароля для доступа суперпользователя - это, безусловно, худшее. Но я сам видел

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Жаль, что один оператор имеет такое большое значение.

When I was 13 years old my school opened a social network for the students. Unfortunately for them I found a security bug where you could change the URI to another userID like "?userID=123" and become logged in for that user. Obviously I told my friends, and in the end the schools social network was filled with porn.

Wouldn't recommend it though.

How about an online document manager, which allowed to set every security permission you could remember...

That is until you got to the download page... download.aspx?documentId=12345

Yes, the documentId was the database ID (auto-increment) and you could loop every single number and anyone could get all the company documents.

When alerted for this problem the project manager response was: Ok, thanks. But nobody has noticed this before, so let's keep it as it is.

Поделюсь созданным мной. Вроде.

Много лет назад компания, в которой я работал, хотела индексировать свой веб-сайт ASP. Итак, я пошел и настроил сервер индексации, исключил несколько административных каталогов, и все было хорошо.

Как бы я ни знал, кто-то дал продавцу ftp-доступ к веб-серверу, чтобы он мог работать из дома, это были дни удаленного доступа, и это был самый простой способ для него обмениваться файлами .... и он начал загружать вещи, в том числе документы с подробным описанием разметки наших служб ... который индексированный сервер индексировал и начал обслуживать, когда люди искали "Затраты" .

Помните детей, в белые списки, а не в черные.

У норвежской доставки пиццы была дыра в безопасности, где вы могли заказать отрицательное количество пиццы на их новом блестящем интернет-портале и получите их бесплатно.

Мой будет для банка, клиентом которого я был. Мне не удалось войти в систему, поэтому я позвонил в службу поддержки. Они спросили у меня мое имя пользователя и ничего больше - не задавали никаких вопросов безопасности и не пытались подтвердить мою личность. Затем вместо того, чтобы отправить сброс пароля на адрес электронной почты, который у них был в файле, они спросили меня, на какой адрес электронной почты отправить его. Я дал им адрес, отличный от того, который был у меня в файле, и смог сбросить свой пароль.

По сути, хакеру нужно только мое имя пользователя, и тогда он сможет получить доступ к моей учетной записи. Это было для крупного банка, о котором слышали бы по крайней мере 90% людей в Соединенных Штатах. Произошло это около двух лет назад. Я не знаю, был ли это плохо обученный представитель службы поддержки клиентов или это была стандартная процедура.

Though this is not the worst security hole I’ve ever seen. But this is at least the worst I’ve discovered myself:

A pretty successful online shop for audiobooks used a cookie to store the identification information of the current user after successful authentication. But you could easily change the user ID in the cookie and access other accounts and purchase on them.

Right at the start of the .com era, I was working for a large retailer overseas. We watched with great interest as our competitors launched an online store months before us. Of course, we went to try it out... and quickly realized that our shopping carts were getting mixed up. After playing with the query string a bit, we realized we could hijack each other's sessions. With good timing, you could change the delivery address but leave the payment method alone... all that after having filled the cart with your favorite items.

Не менять пароли администратора, когда ключевые ИТ-сотрудники уходят из компании.

Наименее простительная брешь в безопасности и, к сожалению, очень распространенная и ее легко найти, это взлом Google . Показательный пример:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

Удивительно, сколько страниц в Интернете, правительственные сайты, в частности, передают запрос SQL через строку запроса. Это наихудшая форма SQL-инъекции, и для поиска уязвимых сайтов не требуется никаких усилий.

С небольшими изменениями я смог найти незащищенные установки phpMyAdmin, незащищенные установки MySQL, строки запроса, содержащие имена пользователей и пароли. и т.д.

I hope you can spot what's wrong here. (Terribly wrong, in fact):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

The last recipient was the happiest ;)

Правдивая история из моих первых дней в Microsoft.

Вы не знали страха до того дня, когда проснулись и не увидели заголовок на ZDNet.com тем утром: « Худшее Брешь в безопасности Internet Explorer когда-либо обнаруживалась в «Blah» , где «Blah» - это код, который вы написали сами шесть месяцев назад.

Сразу после того, как приступил к работе, я проверил журналы изменений и обнаружил, что кто-то из другой команды - кто-то, кому мы доверяли вносить изменения в продукт - проверил мой код, изменил кучу параметров ключа реестра безопасности без каких-либо по уважительной причине, проверил его снова и никогда не получал рецензию кода и никому об этом не говорил. По сей день я понятия не имею, что, черт возьми, он думал, что делал; Вскоре после этого он покинул компанию. (Самостоятельно.)

(ОБНОВЛЕНИЕ: Несколько ответов на вопросы, поднятые в комментариях:

Во-первых, обратите внимание, что я предпочитаю занять благотворительную позицию, согласно которой изменения ключа безопасности были непреднамеренными и основанными на невнимательности или незнании, а не на злобе. У меня нет никаких доказательств того или иного, и я считаю, что разумно приписывать ошибки человеческой склонности к ошибкам.

Во-вторых, наши системы проверки сейчас намного, намного сильнее, чем они были двенадцать лет назад. Например, теперь невозможно проверить код без отправки системой проверки по электронной почте заинтересованным сторонам. В частности, изменения, внесенные на поздних этапах цикла отгрузки, связаны с большим количеством «процессов», которые обеспечивают внесение правильных изменений для обеспечения стабильности и безопасности продукта.)

В любом случае, ошибка заключалась в том, что объект, который НЕ был безопасен для использования в Internet Explorer, был случайно выпущен как помеченный как «безопасный для сценариев». Объект был способен записывать двоичные файлы - фактически библиотеки типов OLE Automation - в произвольные места на диске. Это означало, что злоумышленник мог создать библиотеку типов, содержащую определенные строки враждебного кода, сохранить ее по пути, который был известным исполняемым файлом, дать ей расширение чего-то, что вызовет запуск сценария, и надеяться, что каким-то образом пользователь случайно запустит код. Я не знаю ни одной успешной атаки «реального мира», в которой использовалась бы эта уязвимость, но с ее помощью можно было создать рабочий эксплойт.

Мы довольно быстро отправили патч для этой уязвимости, позвольте мне вам сказать.

The worst security hole I've ever seen was actually coded by yours truly and caused the Google Bot to delete my entire database.

Back when I was first learning Classic ASP, I coded my own basic blog application. The directory with all the admin scripts was protected by NTLM on IIS. One day I moved to a new server and forgot to re-protect the directory in IIS (oops).

The blog home page had a link to the main admin screen, and the main admin screen had a DELETE LINK for each record (with no confirmation).

One day I found every record in the database deleted (hundreds of personal entries). I thought some reader had broke into the site and maliciously deleted every record.

I came to find out from the logs: The Google Bot had crawled the site, followed the admin link, and the proceeded to follow all the DELETE LINKS, thereby deleting every record in the database. I felt I deserved the Dumbass of the Year award getting inadvertently compromised by the Google Bot.

Thankfully I had backups.

В старых «тупых» терминалах IBM System 36 была комбинация клавиш, которая запускала запись макроса. Поэтому, когда терминал не был авторизован, вы можете начать запись макроса и оставить его в этом положении. В следующий раз, когда кто-то войдет в систему, нажатия клавиш будут записаны в макросе, и запись закончится автоматически, когда будет записано максимально разрешенное количество клавиш. Просто вернитесь позже и воспроизведите макрос для автоматического входа в систему.

Наихудшей дырой, которую я когда-либо видел, была ошибка в веб-приложении, когда пустое имя пользователя и пароль приводили к входу в систему как администратору :)

Однажды заметил это в URL-адресе веб-сайта.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Изменение последнего параметра на admin = 1 дало мне права администратора. Если вы собираетесь слепо доверять вводу пользователя, по крайней мере, не телеграфируйте, что вы это делаете!

Я видел это в The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

ИМХО, ничто не сравнится с этим.

В не менее чем одном университете, который останется безымянным, у них были все свои действия запросы передаются через URL-адрес вместо публикации формы.

Эта штука работала хорошо, пока не появился Google Bot, который пробежал по всем их URL-адресам и стер их базу данных.

Surprised no one has brought up social engineering, but I got a kick out of this article.

Summary: malicious users can buy a few dozen flash drives, load them with an auto-run virus or trojan, then sprinkle said flash drives in a company's parking lot late at night. Next day, everyone shows up to work, stumble on the shiny, candy-shaped, irresistable hardware and say to themselves "oh wow, free flash drive, I wonder what's on it!" -- 20 minutes later the entire company's network is hosed.

Giving 1=1 in a textbox lists all the users in the system.

Microsoft Bob
(Источник: Abandonware Dan's 20th Century )

Если вы в третий раз введете неверный пароль, вас спросят, забыли свой пароль.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Но вместо безопасности, например, продолжать запрашивать правильный пароль до тех пор, пока он не будет введен, или заблокировать вас после нескольких неправильных попыток , вы можете ввести любой новый пароль, и он заменит исходный! Любой может сделать это с любой «защищенной» паролем учетной записью Microsoft Bob.

Предварительная аутентификация не требуется. Это означает, что Пользователь1 может изменить свой собственный пароль, просто введя свой пароль три раза неправильно, а затем введя новый пароль в четвертый раз - без необходимости использовать «изменение пароля».

Это также означает, что Пользователь1 может изменить пароли Пользователей 2, Пользователь 3 ... точно так же. Любой пользователь может изменить пароль любого другого пользователя, просто введя его три раза неправильно, а затем введя новый пароль при появлении запроса - и тогда они смогут получить доступ к учетной записи.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Будучи консультантом по безопасности приложений, вы зарабатываете на жизнь множеством общих проблем, которые позволяют получить администратора на веб-сайте через что-то. Но действительно круто, когда можно купить носков на миллион долларов.

Над этим концертом работал мой друг, но суть заключалась в том, что цены на товары в одном сейчас очень популярном онлайн-магазине книг (и всего остального) хранились в самом HTML как скрытое поле. Раньше эта ошибка укусила множество интернет-магазинов, они только начинали разбираться в сети. Очень мало осведомленности о безопасности, я имею в виду, действительно, кто будет загружать HTML, редактировать скрытое поле и повторно отправлять заказ?

Естественно, мы изменили цену на 0 и заказали 1 миллион пар носков. Вы также могли изменить цену на отрицательную, но это привело к тому, что некоторая часть их внутреннего программного обеспечения биллинга переполнение буфера завершила транзакцию.

Если бы я мог выбрать другое, это были бы проблемы канонизации пути в веб-приложениях. Замечательно иметь возможность делать foo.com?file=../../../../etc/passwd

Committing the database root password to source control by accident. It was pretty bad, because it was source control on Sourceforge.

Needless to say the password got changed very quickly.

Когда я впервые присоединился к компании, в которой я сейчас работаю, мой начальник просматривал существующий веб-сайт электронной коммерции потенциального нового клиента. Это было на ранней стадии развития IIS и электронной коммерции, и безопасность была, можно сказать, менее чем строгой.

Короче говоря, он изменил URL-адрес (просто из любопытства) и понял просмотр каталогов не был отключен, поэтому вы могли просто вырезать имя страницы в конце URL-адреса и увидеть все файлы на веб-сервере.

В итоге мы просмотрели папку, содержащую базу данных Access, которую мы загрузили . Это была вся база данных клиентов / заказов электронной коммерции с несколькими тысячами незашифрованных номеров кредитных карт.

Социальная инженерия:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Из bash.org

«Pedo mellon a minno» , «Говори друг и войди», на воротах Мории.

У меня был прежний домашний адрес Джо X, и мне нужно было знать его новый текущий адрес в том же городе, но не было возможности с ним связаться. Я полагал, что он получал обычную ежедневную пачку каталогов по почте, поэтому я произвольно набрал номер 800 для See's Candies (в отличие от Victoria's Secret, или Swiss Colony, или любой другой крупной рассылки):

Я: «Привет, Я Джо Икс. Думаю, вы дважды включили меня в свой список рассылки, и по моему старому, и по новому адресу. Ваш компьютер показывает меня по [старому адресу] или по [поддельному адресу]? »

Оператор: «Нет, мы покажем вам [новый адрес]».

Компания, в которой я работал в последний раз, имела имя пользователя и пароль FTP, идентичные имени их домена. Они не особо беспокоились о повторных предупреждениях.

Излишне говорить, что это не так ». У сайта не должно пройти много времени. Никаких онлайн-резервных копий, поэтому им в основном приходилось все восстанавливать. Но это еще не все. Новый безопасный пароль после этого инцидента был таким же ... с добавлением 123.

Интернет-магазин по прокату DVD-дисков в Швеции отправлял чистые операторы SQL в строке запроса.

Если вы выбрали, например, категорию «Комедия» в рамке меню, она затем отправила « select * from movies, where category = 2 "в качестве строки запроса к кадру movielist, который затем выполнил SQL-оператор и показал все фильмы, соответствующие критериям.

То же самое при добавлении фильмов в ваш заказ.

Просто измените запрос на «удалить * из фильмов», и «Удалить * из заказов» сделает день для этой компании.