Худшая дыра в безопасности, которую вы видели? [закрыто]

Я унаследовал клиентский проект от baby- сидеть: проект ASP.NET (построенный на версии 1.1), это 50% скомпилированных DLL (без исходный код) и JIT скомпилирован на 50%.

Предполагалось, что весь сайт будет только участниками - за исключением оригинальный разработчик сделал лазейку: просто отправьте форму входа с пустым именем пользователя и паролем, и вы бы Вы вошли в систему как секретный суперадминистратор: сделайте что угодно, все увидеть.

Как вы уже догадались: весь код аутентификации был скрыт прочь в предварительно скомпилированной DLL. Хуже всего было, когда я был проинформирован "это не было в списке ошибок, и клиент не будет платить, так что оставь это ". Так я и сделал, и он все еще жив сегодня.

У нас был клиент, который требовал автоматического входа в систему на основе определенного реферера HTTP. Итак, мы с вами должны войти в систему, но если вы нажали ссылку с определенного веб-сайта, вы автоматически войдете в систему под пользователем по умолчанию.

The best error in the style of "web programming security 101" was a recruitment agency whose search page offered a "next page" link which was simply the SQL statement to fetch more job listings. You could easy change this URL to be any other SQL statement, including "drop table X". If you did that, their entire web site would die.

Select * from user where user_id = '*userId*' and access_level = 0 or access_level = 1;

Если запрос вернул какие-либо строки, они были допущены в систему. Круглые скобки вокруг "access_level = 0 или access_level = 1" сделали бы то, что планировали. Вместо этого, пока существует пользователь с access_level , равным 1, любой может войти.

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

Это произошло на очень большом веб-сайте. У меня отвисла челюсть, когда я это увидел.

В моем старом универе пароли пользователей хранились в виде открытого текста в файлах cookie.

Это само по себе ужасно, но, чтобы добавить оскорбления, они хранили их в файлах cookie для ] *. university.edu.au . Сейчас, конечно, все страницы студентов и преподавателей находятся примерно на University.edu.au/~user .

<?php

var_dump($_COOKIE); // oops.

Ненавижу признавать это .. но однажды я узнал, как взломать VSS 2005, когда у меня не было пароля администратора для репозитория (ненавистная часть находится в , имея для использования VSS: D)

Если вы создаете учетную запись локального компьютера с правами администратора, имя которой совпадает с именем учетной записи VSS, и входите в систему, VSS сообщает:

 "Hey great .. you are logged on to the computer with an account name that 
  I recognize as being the same as one of my accounts,
  and your account has admin privileges on the computer .. 
  so I am going to bypass *my* security and give you admin 
  privileges to all of VSS!!!!"

Этот взлом был о первой ссылке, которую я видел в Google при попытке взломать пароль VSS

Конечно, он не дает вам пароль VSS, который вам не хватает

Есть много сайтов, которые используют прокси-файл для передачи изображений или других файлов. Без проверки правильности пути.

Итак.

getfile.php? File = .. / .. / .. / .. / etc / passwd

или

getfile.php? File =. ./index.php (в виде обычного текста со всеми паролями)

Удивительно, сколько сайтов все еще имеют этот недостаток. Просто загуглите getfile.php, и у вас будет целый рабочий день, разбивающийся на коробки.

In one forum I've got readonly access to hidden threads and administrative interface just by replacing my username in cookies by admin's one, not changing password.

Пример реального мира (в соответствии с запросом в вашем вопросе), патентованное приложение (что явно разрешено вашим вопросом)...

При запуске клиентское программное обеспечение связывается с нашими серверами и говорит: «По умолчанию на панели интерфейса у меня есть Foo (потому что на самом деле каждая версия 1.03, например, использует Foo), у вас есть лучше?» Если между тем мы написали лучшую реализацию, мы отвечаем «да, бар старый, используйте Buz, это лучше».

Затем на стороне клиента используется загрузчик классов для загрузки последней реализации.

Он слишком упрощен, но это реальный мировой пример. Это не совсем отличается от примера, упомянутого JRL: где устаревшие классы автоматически заменяются более новыми.

Короткий ответ - нет, он не делает вещи недоступными, но может привести их в замешательство. Ниже следует более длинный ответ. Будут ли ваши пользователи знать, что есть страница с формой, и должен ли быть какой-либо описательный текст, который вы должны прочитать перед заполнением формы? Я пользователь программы чтения с экрана, и это может раздражать, сосредоточившись на случайных полях. Понятно, почему твой фокус всплывает в поисковой системе Google, чтобы меня это не беспокоило. Если бы мой фокус был автоматически помещен в поле редактирования ответов каждый раз, когда я просматривал вопрос на Stackoverflow, я был бы раздражен, так как мне пришлось бы заставлять программу чтения с экрана уходить от поля формы и в верхнюю часть страницы.

Перефразируя из памяти здесь, но это близко...

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

Парень, которого я знаю, использовал это для защиты «частной зоны» своего веб-сайта. Сначала он не хотел верить мне, что даже его браузер имеет эту странную функцию «просмотр источника».

Ну просто

exec unchecked_parameter_from_the_web

в Python для анализа литерала словаря, который был дан пользователем. Это было действительно страшно.

Думая об этом, я думаю, что худшая дыра в системе безопасности, которую я когда-либо видел, это когда парень, который администрировал электронный дверной замок, сказал: "Что вы имеете в виду, замок не знает о государственных праздниках?"

Да, каждый понедельник-пятница, которые были государственными праздниками с тех пор, как была установлена дверная система, входная дверь была разблокирована с 08:00 до 17:30.

Однажды у меня была работа, где был уровень безопасности, написанный на Java-коде, который проверял, есть ли у пользователя доступ для редактирования столбца таблицы БД. Вот как выглядела функция:

public boolean canEdit(User user, DBColumn column) {
    if(true) {
        return true;
    } else {
        return false;
    }
}

Не самое плохое, но достаточно плохое, чтобы нанести реальный ущерб. Вы были бы удивлены, как часто это упускается из виду. Особенно, когда люди используют некоторые из этих популярных фреймворков,

yourwebapp.com/items/edit.php?id=4
yourwebapp.com/items/delete.php?id=4

не проверяя, является ли владелец элементов тем, кто запрашивает страницу. Это означает, что вы можете войти в свою учетную запись, а затем редактировать или удалять чьи-либо элементы во всем приложении.

Простая проверка может предотвратить большой ущерб.

$item = // find your item by the $_GET[ 'id' ];

if( $_SESSION[ 'user_id' ] != $item[ 'user_id' ] ){
  // kick em out they dont belong...
}

В 1970-х годах в Стэнфорде имелись печатные терминалы IBM 2741, разбросанные по университетскому городку, подключенные к сети IBM 360/67. Пароли учетных записей состояли из трех символов. Во время входа в систему запрос пароля будет перекрывать трехпозиционный большой двоичный объект из примерно девяти случайных прописных символов, поэтому вводимый впоследствии пароль предположительно будет замаскирован этим большим двоичным объектом. Однако все вводили свои пароли в нижнем регистре, которые было тривиально различить на фоне большого двоичного объекта верхнего регистра. Это означало, что вы обычно могли подойти к любому терминалу, просмотреть бумажную копию, которую обычно оставлял предыдущий пользователь, и легко войти в систему с его учетной записью и паролем.

Я видел, как топ-менеджеры высококлассного французского оборонного подрядчика использовали Skype для очень конфиденциальных переговоров. (для справки, Skype использует давно сломанный алгоритм шифрования RC4).

Я думаю, что их невежество можно простить, поскольку помимо этого они также использовали Windows и MS-Word. (для справки, MS-Word хранит историю всех документов, ранее написанных с использованием этого шаблона).

Это поднимает некоторые интересные вопросы относительно того, куда идут деньги налогоплательщиков - и разумно ли они используются.

Это не дыра в безопасности, а позор безопасности одной из корпораций, позиционирующих свои продукты как высокозащищенные (и это одна из их главных особенностей)

Речь идет о "безопасном входе в систему" на страницах для партнеров. И вот оно:

В первый раз, когда вы получили пароль в текстовом виде по электронной почте, и как только вы вошли в систему, вы, конечно же, не читаете вздор на первом экране, вы просто бежите за тем, что ищете (документ или программное обеспечение) и затем выйдите из системы.

Но вот в чем хитрость, в следующий раз, когда вы пытаетесь войти в систему, ваш пароль больше не работает, потому что у вас должен быть новый пароль, который они публикуют каждый раз на сайте под вашим личным профилем. Итак, после обмена несколькими электронными письмами они присылают мне (по электронной почте) список из примерно 30 перечисленных одноразовых паролей, и я могу использовать его только один раз каждый раз. (это заняло у меня одну неделю и пару электронных писем, чтобы согласовать этот список)

Поэтому я распечатал этот список паролей, повесил его на стену перед своим столом и каждый раз, когда я вхожу в систему, зачеркиваю один пароль ручкой. Меня не волнует, увидит ли кто-нибудь, проходящий мимо моего стола, этот список.

Китайское программное обеспечение для фильтрации - Green Dam на официальном веб-сайте информация о сервере mod_status широко открыта для всеобщего ознакомления.

Для любопытных:

http://www.lssw365.net/server-status

По какой-то причине вы можете захотеть нажать стоп кнопка сразу после загрузки,

В подписанном коде:

System.setSecurityManager(null);

(Вы можете найти это в коде Google.) Удаляет все ограничения безопасности Java из всего кода, выполняемого в процессе. Возможно, не очень хорошо продуман.

Я просматривал веб-сайт покупок, и когда я набрал свой адрес электронной почты, я заметил, что страница ввода адреса только что имела в URL «? NOrderID = 301».

Тогда ладно. Я меняю это число на 99, и знаете что? Я узнал имя, адрес и номер телефона какой-то женщины, которая живет в Бенд, ИЛИ .

Я написал письмо администратору сайта несколько недель назад, и он не очень обрадовался этому, но это до сих пор не исправлено ...

Это и какое-то время компания, в которой я работаю весь список информации о сотрудниках (все о сотруднике от адреса до SSN для оплаты) хранился в защищенной паролем базе данных Access.

Воспользуйтесь своей любимой поисковой машиной и узнайте, как восстановить пароли доступа к базе данных. Да.

Перетащите его в этот , и вы получите пароль.

У нас был старый компьютерный кластер, который не работал ни в одной из лабораторий, в которых я работал. Пара старшекурсников подумала, что было бы весело запустить его, чтобы они могли немного узнать параллельные вычисления. Что ж, они запустили его, и он оказался довольно полезным.

Однажды я пришел и посмотрел статистику ... Она работала на 100%. Это был кластер из 24 узлов, и только трое из нас когда-либо его использовали, поэтому было немного странно, что он работал с такой нагрузкой. Я начал играть с ним, пытаясь выяснить, что загружая его ... Оказалось, что кто-то получил доступ и использовать его в качестве своего собственного мало порно сервера и спамер. Я спросил у студентов, какие меры безопасности они используют, они посмотрели на меня и сказали: «Безопасность? Мы не думали, что она понадобится».

Я набросил на него пароль, и все. Человек, который использовал его в качестве порно сервера оказался друг одного из старшекурсников.

A couple of years ago a friend gave me an old axe-head that he'd found, hoping to be told it was some ancient artefact. So, a search on Google for some likely website to help in the identification gave me a link to a museum website somewhere in the Midlands (UK).

Except the page it dropped me on gave me full administrator rights over the entire site. Being a responsible type, I changed the name of the account owner, just so they'd know I wasn't talking rubbish and sent them an email suggesting they plug whatever hole it was that let me in, before somebody more malicious found it.

Needless to say I received a very thankful email from site owner, who'd been assured by the developer that the fault had been found and fixed. Although you have to wonder about the abilities of someone who's that careless.

Много лет назад в школе был веб-сайт обучающей платформы с возможностью загрузки. Файлы PHP на веб-сайт, которые вы можете запустить позже, чтобы они предоставили вам полный доступ ко всему веб-сайту. Не было обнаружено ни одним другим учеником, и я думаю, что ошибка все еще присутствует.

В то время, когда у меня были ... творческие разногласия ... с сайтом сообщества, который я помог создать, один из других кодировщиков добавил новый файл PHP, в котором перечислены файлы в очереди на утверждение у которого также была ссылка для удаления каждого файла.

К сожалению, этот сценарий использовал всю концепцию безопасности через скрытность.

Каким-то образом веб-сканер нашел эту страницу и перешел по всем ссылкам удаления.

Само собой разумеется, что скрипты, которые изменяют метаданные или удаляют файлы, теперь требуют входа в систему.

PS Я не имел к этому никакого отношения и даже не знал о существовании этого скрипта, пока один из сотрудников не сказал мне, что получилось. Сейчас я снова работаю на этом сайте, отчасти для того, чтобы подобные вещи больше не повторились.

http://apache.org/.svn/entries

На своей первой работе я начинал стажером в отделе ИТ-безопасности. Мне было поручено автоматизировать доступ к сети и приложениям к различным учетным записям пользователей, поскольку каждый пользователь переходил в разные отделы / роли. При этом у меня был доступ к некоторым базовым инструментам, таким как Query Analyzer, и только к нескольким базам данных, но не более того. Компания обычно держала все взаперти, поэтому всегда были разрешения на сброс, предоставление и тому подобное.

На работе всем сотрудникам, работающим неполный рабочий день, было предоставлено и требовалось использовать небольшое клиентское приложение VB для отслеживания отработанных часов и в конце недели стала доступной кнопка для отображения вошедшего в систему пользователя количества часов, которые они отработали в течение недели, и суммы, которую им заплатят на этой неделе.

Однажды от явной скуки я наткнулся на каталог, в котором находилось небольшое приложение для учета рабочего времени в сети, и заметил, что в этом каталоге был только один другой файл, помимо EXE, - settings.ini ] файл.

Разумеется, после открытия файла строка подключения отображалась ярким ярким простым текстом; пользователь, пароль, имя базы данных, сервер и все остальное.

В этот момент я никак не думал, что это будет настоящая информация, но после запуска Query Analyzer и ввода настроек ini в основную производственную базу данных, имел все данные, которые могли бы понадобиться, чтобы повысить зарплату. Полный доступ для чтения и записи для загрузки.

В итоге я показал своему боссу вопрос о том, кто что сделал, и он спокойно сказал мне переслать его директору по персоналу.

Пир однажды случайно написал в Твиттере свой пароль ... это была довольно серьезная дыра в безопасности.

Это было давно ... но система VAX компании DEC раньше поставлялась с учетными записями:

логин: SYSTEM пароль: MANAGER

и логин: FIELD пароль: SERVICE

Большинство системных администраторов знают об учетной записи SYSTEM и большинство (но не все) ее изменяют. Однако не все знали об учетной записи FIELD, которая также имела привилегии SYSTEM.

Брат моего лучшего друга только что закончил учебу. Несколько дней назад он заявил всем вокруг, что он «веб-мастер» и «веб-разработчик». Я сказал ему, что его сайты плохие и небезопасные. «Взломайте их», - ответил он. Через 10 минут я отправил ему весь исходный код его 4 сайтов :) Он делал что-то вроде

< ? include $_GET['inc']; ? >"

Чем дерзче ты, тем больше ты подвержен атакам :)

«Защищенный» веб-сайт, на котором были зашифрованы все страницы, кроме страницы входа!