Худшая дыра в безопасности, которую вы видели? [закрыто]

Не совсем дыра в безопасности, это скорее «функция», о которой многие начинающие администраторы серверов не знали / не заботились в то время.

Примерно в 1999-2001 годах у меня было много таких функций. весело с Frontpage и разблокированными расширениями сервера Frontpage, установленными на общедоступных веб-сайтах.

Когда вы установили Frontpage, вы получили эту удобную удобную кнопку «Редактировать на главной странице» в Internet Explorer.

При посещении сайта, например www.foo.com, если вы нажали кнопку «Изменить на главной странице» в Internet Explorer и администраторы сервера не выполнили свою работу должным образом, Frontpage с радостью откроет полную структуру каталогов виртуальный каталог и позволял вам читать / редактировать его содержимое.

Это работало на многих сайтах, от небольших групп одного человека до более крупных общественных организаций.

У нас был хороший в магазине, в котором я работал. Двери в закрытые зоны доступа имели клавиатуры, поэтому для доступа нужно было ввести пин-код. Однако вы можете просто нажать #, и двери откроются, что нам понравилось, поскольку набрать # было намного проще, чем шестизначный пин-код.

Когда я использую Colloquy (IRC), поле пароля всплывает, но у меня все еще есть фокус на главном экране, поэтому весь мир знает мой пароль, когда я нажимаю Enter и не осознаю этого .

В Windows 95 и 98 была самая лучшая ошибка. Если вы просто нажмете кнопку «Отмена», вы войдете в систему с правами администратора :) В то время отлично провели время на работе моего отца: D

Худшее, что я лично обнаружил, было в университете, который использовал машины под управлением X для всех систем (включая кабинеты профессоров). Все эти X-сессии размещались на одном сервере ...

Забавно, но вы могли запустить новое X-приложение (часы были любимыми, но любое X-приложение могло бы работать) и выбрать терминал, на котором оно будет отображаться. С помощью быстрого сценария вы можете запустить его на каждом компьютере в каждой лаборатории / офисе в кампусе ...

Конечно, приложение, которое действительно обнаружило эту дыру в безопасности, было поддельным логином в оболочке, входные данные с которого были записаны в файл.

Он проработал неделю и собрал сотни имен пользователей и паролей студентов и преподавателей, а также породил пару ОЧЕНЬ несчастных администраторов.

I used to work for a point-of-sale company. Their software was used by a lot of pizza joints.

It was up to the customer to change the default passwords. The default information is printed in the user manuals and such. :)

Well, some kids who worked at one of these pizza joints guessed they hadn't change the root password (Unix/Linux based system). They then proceeded to buy him and his friends free delivered pizza to his house for close to a year before the pizza joint noticed. It makes me laugh everytime I think about that job. :)

Мой мог бы обнаружить ODBC DSN, используемый для отчетов, где пароль соответствует пользователю, и пользователь принадлежит к группе администрирования сервера баз данных .

Таким образом, любой ПК с этим ODBC DSN мог читать / изменять все данные (и того хуже) через пользователя отчета, используя любой ODBC-совместимый инструмент. Авторизация не требовалась, а аутентификация была настолько слабой, насколько это возможно.

Я работал в государственной больнице, и программное обеспечение было установлено почти на каждом ПК в каждой государственной больнице штата, при этом сервер базы данных содержал все виды конфиденциальных медицинских данных (полные сведения о пациенте, результаты лабораторных анализов и т. Д.) )

Хуже всего то, что мы тихо сообщили о дыре в безопасности, тогда официально, и она все еще не была исправлена ​​за те 2 года, которые я там проработал, а это было 5 лет назад.

Однажды я работал с фирмой, которой мне пришлось поделиться информация через шифрование. Они предоставили мне GPG пара ключей - их открытый и закрытый ключи вместо просто поделиться открытым ключом и информацией, которая была очень конфиденциально.

Мне пришлось объяснить им, что этот процесс был неправильным, и они поняли, что делали это давно.

Я не знаю, худшее ли это, поскольку я видел довольно плохие, но:

Несколько лет назад одно место Я работал над принесенной системой под названием FOCUS. Не знаю, все еще там или нет. Он отлично подходит для составления отчетов, и мы разработали и научили, возможно, тысячу или двух человек, не связанных с ИТ, создавать собственные отчеты. Очень удобно. Они могли делать базовые отчеты, некоторые могли делать вещи средней сложности, а ИТ-служба могла помочь с более сложными делами.

Все данные для составления отчетов регулярно копировались в теневые базы данных в собственном формате FOCUS. Для более конфиденциальных данных мы устанавливаем безопасный вариант, при котором данные шифруются. Все хорошо.

Итак, однажды мой босс вызывает меня, и мы потеряли пароль к одной из конфиденциальных баз данных. В этом случае будет сложно воспроизвести данные, поэтому он просит меня посмотреть, смогу ли я взломать систему безопасности. У меня не было опыта хакера, поэтому мне потребовалось около 5 или 6 часов, чтобы передать ему пароль. Я начал с создания нескольких тестовых файлов и шифрования их разными паролями. Я обнаружил, что изменение одного символа в пароле приведет к изменению двух байтов в зашифрованном файле, в частности, старшего младшего байта одного байта и младшего младшего байта другого байта. Хммм, - говорит я. Конечно, они хранили пароль где-то в первых 80 байтах зашифрованного кода, но запутали пароль, разбив байты на полубайты и сохранив их в предсказуемых местах.

Вскоре после этого был написан сценарий REXX, который работал в системе VM / CMS и сообщал нам пароль любой зашифрованной базы данных.

Это было очень давно - в начале девяностых, и я уверен, что с тех пор они исправили эту проблему. Что ж, почти уверен.

http://www.metasploit.com/users/hdm/tools/debian-openssl/

Хранение информации о кредитной карте в базе данных без шифрования (ВСЕ информация: номер + срок действия + криптограмма). Кроме того, эта база данных использовалась как своего рода CRM , поэтому многие продавцы могут получить к ней доступ с небезопасным паролем. (Кто не менял его с тех пор, как я покинул компанию 3 года назад.)

Одна из моих коммунальных компаний не использует autocomplete = "off" в форме кредитной карты.

Конечно, они не хранят ваш кредит информация о карте (хорошая вещь), но представьте, как я был в ужасе, когда оплатил счет за 2-й месяц, и мой браузер предложил заполнить за меня весь номер кредитной карты ...

Видел дверь, которую кто-то однажды забыл заблокировать ...

В качестве альтернативы, видел какой-то JavaScript, который выполнял некоторый SQL через вызов Ajax. Единственная проблема заключалась в том, что выполняемый SQL-код был обработан вместе со страницей, а затем передан службе ...

Некоторые друзья вместе учились в классе в университете. Они обнаружили, что профессор разместил все решения домашних заданий, даже тех домашних заданий, которые еще не были выполнены, не были оценены или даже не были назначены. У профессора просто были ссылки или решения для них, встроенные в веб-страницу класса, и он комментировал их в комментариях HTML, пока задание не было собрано и оценено.

1-800 домино предоставит неуказанный адрес, связанный с любым целевым номером телефона. Когда будет предложено, если вы звоните по номеру телефона, с которого вы звонили, выберите нет. Система предложит вам ввести новый номер телефона, после чего система зачитает вам имя и адрес, связанные с этим номером телефона. Введите номер телефона вашей цели, и теперь у вас есть ее имя и адрес. Это довольно часто встречается в автоматизированных системах заказа, и если домино исправили это, их буквально сотни.

On a free web-host I tried, there was a logical error in the "Forgot Password" method for e-mailing you your password -- if you didn't enter an e-mail address (a secondary e-mail was optional), it e-mailed the password for the primary address for every single user who didn't provide a secondary e-mail.

I and hundreds of others one day received an e-mail with hundreds of usernames and passwords, with the passwords in plaintext.

Не техническая дыра в безопасности, но тем не менее дыра в безопасности:

Моя банковская карта недавно была съедена банкоматом, и прошло несколько недель, прежде чем я получил ее обратно. Когда она наконец прибыла в банк, женщина из банка позвонила мне и спросила, хочу ли я забрать свою карту или попросить их прислать ее мне по почте. Она также сказала мне, что если они отправят его, они отключат его, пока я не позвоню им, чтобы подтвердить, что он благополучно прибыл в мой дом.

Я получил карточку с коротким письмом с точной контактной информацией, включая записку о том, что мне нужно позвонить, чтобы повторно активировать карточку. Я просто позвонил туда, дал им свое имя и номер счета, оба из которых были напечатаны САМОМ НА КАРТЕ, и они снова активировали карту.

По сути, если бы кто-нибудь другой схватил это письмо, у него была бы карта и номер банка, а также вся информация, необходимая, чтобы убедить банк, что это действительно я звонил. Так что там не очень хорошая система безопасности.

Я взломал http://dev.superuser.com/ , изменив домен моего файла cookie доступа к бета-версии ServerFault. (сейчас исправили)

Не самым худшим, но хорошо смешным был баг с перезагрузкой ОС Android. Когда у пользователей были телефоны G1, они могли набрать "reboot" с любого места на телефоне (т.е.: смс или электронная почта), и телефон перезагружался.

if( $session['role'] = "admin" ) //grant admin rights

Всего один символ ("=" вместо "==") - это все, что нужно, чтобы дать права администратора любому, кто вошел в систему. Вы действительно виновны.

Однажды мой банк обнаружил "подозрительную транзакцию" по моей дебетовой карте. Порекомендовали отменить и взять новый.

Пока я ждал новую карту, мне нужно было сделать вывод. Поэтому я пошел в банк, дал женщине свою старую карту и объяснил: «Эту карту недавно аннулировали, но мне нужны деньги. Не могли бы вы дать немного с этого счета?»

Когда я вышел из банка с наличными в кармане, я понял, что только что снял деньги со счета с помощью аннулированной карты, и меня ни разу не попросили предъявить какое-либо удостоверение личности.

Наихудшая брешь в безопасности, которую я когда-либо видел, - это когда люди не используют мастер-пароль в своей учетной записи firefox, даже если он сохраняет все свои пароли. Это означает, что любой, кто может получить доступ к файлам вашей учетной записи, может украсть все ваши пароли. ИСПОЛЬЗУЙТЕ ГЛАВНЫЙ ПАРОЛЬ.

In 2007 a DOD website for a fairly large agency had a misconfiguration resulting in the IIS web server serving up raw code and the home page had hard coded username/password and database server information in it. Fortunately it was caught rather quickly but I did witness it and it was extremely shocking. Needless to say their website was taken offline by network engineers until the developers fixed the bad code.

Для получения основного списка дыр в безопасности (и других компьютерных рисков) посетите http://catless.ncl.ac.uk/Risks

public class AuthenticationServlet extends HttpServlet
{
    private String userName;
    private String password;

    protected doPost(HttpServletRequest req, HttpServletResponse resp)
           throws ServletException, IOException
    {
        userName = request.getParameter("userName");
        password = request.getParameter("password");
        authenticateUser(userName,password);
        ......
    }
}

Очевидно, как кто-то выяснил во время автоматического нагрузочного тестирования, одиночные разряды и отсутствие синхронизации могут вызвать проблемы с безопасностью.

Может быть, здесь немного анекдотической истории (но поскольку это худшая дыра в безопасности, которую я обнаружил) ...

Была компания, которая продавала настраиваемую CMS (для веб-сайтов) количество компаний / организаций (включая нашу, к сожалению). Они используют довольно много компонентов (в основном LGPL), которых они не производили. Множество клиентов (включая правительство).

1. Аутентификация для доступа к различным частям веб-сайта (и системе администрирования CMS) была обработана правильно.
2. Они использовали экземпляры FCKEditor в своей CMS (для того, чтобы разрешить пользователям, не разбирающимся в html для редактирования веб-страниц).
3. Они также использовали скрипты «upload-connector» FCKEditor, чтобы пользователи могли добавлять документы, изображения и т. Д. На сайт. URL-адрес этого скрипта был жестко закодирован в одном из общедоступных javascript-вложений.

It wasn't that bad in my case, because the data wasn't that sensitive:

I was given an Excel file overflowing with macros to update, each sheet was locked and the macros section was password protected. I was given the passwords, but I figured I may as well try to crack it anyway.

I found a program to do it in about ten minutes, and most of that was probably just download time. What was this miracle product that can break through Excel security so quickly and easily? OpenOffice.Org.

I'm not sure if Office 2007 has improved upon this at all, but it scares me how many non-technical people are probably using Excel for manipulating sensitive information and thinking it's secure. Then again those types of people probably don't even know about the "security" features it offers anyway.

Я голосую за "черный ход" Кена Томпсона в UNIX.

Вот ссылка, по которой кто-то узнает об этом больше: Троянский компилятор Томпсона

Причина, по которой я считаю его худшим, заключается в том, что это было в те времена, когда судьи и такие люди думали, что лучший способ добиться прогресса против подобных вещей - это открыто обсудить их.

Все это научило кучку скрипачей новому и очень мощному трюку.

Отправка в виде открытого текста списка имен пользователей в браузер для автозаполнения JavaScript в сочетании с возможностью просмотра данных пользователей путем настройки строки запроса URL с уникальным идентификатором пользователя, который можно получить с помощью указанной функции автозаполнения.

Зашел на платный сайт для автосалонов, которые взимали большие деньги за членство. Только что попробовал "test" для имени пользователя и "Test1" для пароля. Я был внутри.