আপনি দেখেছেন সবচেয়ে খারাপ সুরক্ষা গর্ত? [বন্ধ]

আপনি দেখেছেন সবচেয়ে খারাপ সুরক্ষা গর্ত কি? দোষীদের রক্ষা করার জন্য বিশদ সীমাবদ্ধ রাখা সম্ভবত একটি ভাল ধারণা।

এটির মূল্য কীসের জন্য, আপনি যদি কোনও সুরক্ষা গর্ত খুঁজে পান তবে কী করবেন সে সম্পর্কে একটি প্রশ্ন এবং কোনও সংস্থা যদি কোনও উত্তর দেয় না (মনে হয়) তবে কিছু দরকারী উত্তর সহ another

অনলাইন স্টোরের প্রথম দিনগুলি থেকে:

শপিং কার্টের পরিমাণ ক্ষেত্রে .1 প্রবেশ করে 90% ছাড় পাচ্ছেন। সফ্টওয়্যারটি মোট ব্যয়টিকে .1 * ব্যয় হিসাবে সঠিকভাবে গণনা করেছে, এবং মানব প্যাকিং অর্ডারটি কেবলমাত্র বিজোড়ের উপর দিয়ে দেখেছে "" প্যাক করার পরিমাণের সামনে :)

গুগল হ্যাকিং হ'ল সর্বনিম্ন ক্ষমাযোগ্য সুরক্ষা গর্ত এবং দুর্ভাগ্যক্রমে এটি খুব সাধারণ এবং এটির সন্ধান করা সহজ । বিন্দু ক্ষেত্রে:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

এটি আশ্চর্যজনক যে ইন্টারনেটের কতগুলি পৃষ্ঠা, বিশেষত সরকারী সাইটগুলি কোয়েরি স্ট্রিংয়ের মাধ্যমে একটি এসকিউএল কোয়েরি পাস করে। এটি এসকিউএল ইঞ্জেকশনটির সবচেয়ে খারাপ রূপ এবং এটি দুর্বল সাইটগুলি খুঁজে পেতে কোনও প্রকার প্রচেষ্টা লাগে না।

ছোটখাটো টুইটের সাহায্যে, আমি পিএইচপিএমওয়াই অ্যাডমিনের অরক্ষিত ইনস্টলেশন, মাইএসকিউএল এর সুরক্ষিত ইনস্টলেশন, ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ কোয়েরি স্ট্রিং ইত্যাদি সন্ধান করতে সক্ষম হয়েছি

সামাজিক প্রকৌশলী:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Bash.org থেকে

মাইক্রোসফ্টে আমার প্রথম দিন থেকে সত্য ঘটনা।

যেদিন আপনি জেগে উঠেছিলেন এবং জেডডি নেট ডটকমের সেই শিরোনামটি দেখলেন সেদিন পর্যন্ত আপনি ভয় জানেন না "" " সবচেয়ে ভাল ইন্টারনেট এক্সপ্লোরার সিকিউরিটি হোলটি 'ব্লা'এর মধ্যে আবিষ্কার হয়েছে " যেখানে' ব্লা'এই কোডটি আপনি নিজেকে ছয় মাস আগে লিখেছিলেন is ।

তাত্ক্ষণিকভাবে কাজ করার পরে আমি পরিবর্তনের লগগুলি পরীক্ষা করে দেখেছি যে অন্য একটি দলের কেউ - আমরা যে পণ্যটিতে পরিবর্তন করতে বিশ্বাস করি - তিনি আমার কোডটি পরীক্ষা করে দেখেছেন, কোনও কারণ ছাড়াই সুরক্ষা রেজিস্ট্রি কী সেটিংসের একগুচ্ছ পরিবর্তন করেছেন, এটি আবার চেক ইন করে নিল এবং কোনও কোড পর্যালোচনা পেল না বা এ সম্পর্কে কাউকে কিছু জানায়নি। আজ অবধি আমার কোন ধারণা নেই যে তিনি পৃথিবীতে কী ভেবেছিলেন তিনি কী করছেন; এর পরেই তিনি সংস্থাটি ছেড়ে চলে যান। (তার নিজের ইচ্ছার।)

(আপডেট): মন্তব্যে উত্থাপিত বিষয়ে কয়েকটি প্রতিক্রিয়া:

প্রথম, নোট করুন যে আমি দাতব্য অবস্থানটি গ্রহণ করা বেছে নিয়েছি যে সুরক্ষা কী পরিবর্তনগুলি অনিচ্ছাকৃত এবং দুর্বলতার পরিবর্তে অসতর্কতা বা অপরিচিততার ভিত্তিতে ছিল। আমার কাছে কোনওভাবেই বা অন্য কোনও প্রমাণ নেই এবং আমি বিশ্বাস করি যে ভুলকে মানুষের পতনের জন্য দায়ী করা বুদ্ধিমানের কাজ।

দ্বিতীয়ত, আমাদের চেকিন সিস্টেমগুলি বারো বছর আগের তুলনায় এখন অনেক বেশি শক্তিশালী। উদাহরণস্বরূপ, চেকিন সিস্টেমটি আগ্রহী পক্ষগুলিতে পরিবর্তন তালিকা ইমেল না করে কোড চেক করা এখন সম্ভব নয়। বিশেষত, জাহাজ চক্রের শেষ দিকে করা পরিবর্তনগুলির চারপাশে প্রচুর "প্রক্রিয়া" রয়েছে যা নিশ্চিত করে যে পণ্যের স্থায়িত্ব এবং সুরক্ষা নিশ্চিত করতে সঠিক পরিবর্তন করা হচ্ছে))

যাইহোক, বাগটি ছিল যে কোনও জিনিস যা ইন্টারনেট এক্সপ্লোরার থেকে ব্যবহার করা নিরাপদ ছিল না তা ঘটনাক্রমে তাকে "স্ক্রিপ্টিংয়ের জন্য নিরাপদ" হিসাবে চিহ্নিত করা হয়েছিল। বস্তুটি বাইনারি ফাইলগুলি লিখতে সক্ষম ছিল - OLE অটোমেশন ধরণের লাইব্রেরিগুলি, বাস্তবে - স্বেচ্ছাসেবী ডিস্কের অবস্থানগুলিতে। এর অর্থ হ'ল আক্রমণকারী কোনও প্রকারের লাইব্রেরি তৈরি করতে পারে যার মধ্যে বিরূপ কোডের নির্দিষ্ট স্ট্রিং রয়েছে, এটি একটি নির্ধারিত এক্সিকিউটেবল লোকেশন এমন একটি পাথে সংরক্ষণ করতে পারে, এটি এমন কোনও কিছুতে প্রসারিত করতে পারে যা স্ক্রিপ্টটি চালিত করতে পারে এবং আশা করে যে কোনওভাবে ব্যবহারকারী দুর্ঘটনাক্রমে কোড চালানো হবে। এই দুর্বলতাটি ব্যবহার করে এমন কোনও সফল "সত্যিকারের বিশ্বের" আক্রমণ সম্পর্কে আমি জানি না, তবে এটির সাথে একটি কার্যকরী শোষণ কারুকাজ করা সম্ভব হয়েছিল।

আমরা সেইটির জন্য দ্রুত একটি প্যাচ দ্রুত প্রেরণ করেছি, আমি আপনাকে বলি।

আমি জেএসক্রিপ্টে আরও অনেকগুলি সুরক্ষা গর্ত সৃষ্টি করেছি এবং পরবর্তীকালে স্থির করেছি, তবে তাদের কেউই প্রচারের কাছে কোথাও পায়নি one

আমি আশা করি আপনি এখানে যা ভুল তা স্পষ্ট করতে পারেন। (ভয়ানক ভুল, আসলে):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

শেষ প্রাপকটি সবচেয়ে সুখী ছিল;)

পুরানো আইবিএম সিস্টেম 36 বোবা টার্মিনালের একটি কীবোর্ড সংমিশ্রণ ছিল যা ম্যাক্রোর রেকর্ডিং শুরু করে। সুতরাং যখন কোনও টার্মিনাল লগইন করা হয়নি, আপনি ম্যাক্রোর রেকর্ডিং শুরু করতে এবং সেই অবস্থাতেই রেখে দিতে পারেন। পরের বার কেউ লগ ইন করলে, কীস্ট্রোক ম্যাক্রোতে রেকর্ড করা হবে এবং সর্বাধিক অনুমোদিত চাবি রেকর্ড করা হলে রেকর্ডিংটি স্বয়ংক্রিয়ভাবে শেষ হবে। ঠিক পরে ফিরে আসুন এবং ম্যাক্রোটিকে অটোলজ-ইন-এ পুনরায় খেলুন।

আমি দেখেছি সবচেয়ে খারাপ সুরক্ষা গর্তটি সত্যই আপনার দ্বারা কোডিং হয়েছিল এবং গুগল বটকে আমার সম্পূর্ণ ডাটাবেস মুছতে বাধ্য করেছিল।

আমি যখন প্রথম ক্লাসিক এএসপি শিখছিলাম তখন আমি আমার নিজস্ব বেসিক ব্লগ অ্যাপ্লিকেশনটি কোড করেছিলাম। সমস্ত প্রশাসক স্ক্রিপ্ট সহ ডিরেক্টরিটি আইআইএসে এনটিএলএম দ্বারা সুরক্ষিত ছিল। একদিন আমি একটি নতুন সার্ভারে চলে এসে আইআইএস (ওফস) -এ ডিরেক্টরিটি পুনরায় সুরক্ষা দিতে ভুলে গিয়েছি।

ব্লগের হোম পৃষ্ঠার মূল অ্যাডমিন স্ক্রিনের একটি লিঙ্ক ছিল এবং প্রধান অ্যাডমিন স্ক্রিনে প্রতিটি রেকর্ডের জন্য একটি মুছে ফেলা লিঙ্ক ছিল (কোনও নিশ্চিতকরণ ছাড়াই)।

একদিন আমি ডাটাবেসে মুছে ফেলা প্রতিটি রেকর্ড খুঁজে পেয়েছি (শত শত ব্যক্তিগত এন্ট্রি)। আমি ভেবেছিলাম কিছু পাঠক সাইটে প্রবেশ করেছে এবং প্রতিটি রেকর্ড দূষিতভাবে মুছে ফেলেছে।

লগগুলি থেকে আমি জানতে পেরেছিলাম: গুগল বট সাইটটি ক্রল করেছিল, অ্যাডমিন লিঙ্কটি অনুসরণ করেছিল এবং সমস্ত ডিলেট লিঙ্কগুলি অনুসরণ করে এগিয়ে চলেছে, যার ফলে ডাটাবেসের প্রতিটি রেকর্ড মুছে ফেলা হয়। আমি অনুভব করেছি যে গুগল বটের দ্বারা অজান্তেই সমঝোতা হবার জন্য আমি ডাম্বাস অফ দ্য ইয়ার পুরষ্কার প্রাপ্য।

ধন্যবাদ আমি ব্যাকআপ ছিল।

সবচেয়ে খারাপ ছিদ্রটি আমি কখনও দেখেছি এমন একটি ওয়েব অ্যাপ্লিকেশনটিতে একটি বাগ ছিল যেখানে খালি ব্যবহারকারীর নাম এবং পাসওয়ার্ড দেওয়া আপনাকে প্রশাসক হিসাবে লগ ইন করতে পারে :)

এটি একবার কোনও ওয়েব সাইটের ইউআরএলে লক্ষ্য করা গেছে।

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

অ্যাডমিন = 1 এ সর্বশেষ প্যারামিটারটি পরিবর্তন করা আমাকে প্রশাসকের সুবিধাদি দিয়েছে। আপনি যদি অন্ধভাবে ব্যবহারকারী ইনপুটটিকে বিশ্বাস করতে চলেছেন তবে কমপক্ষে টেলিগ্রাফ করবেন না যে আপনি এটি করছেন!

আমি এটি ডেইলি ডাব্লুটিএফ-তে দেখেছি ।

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

কিছুই এই আইএমএইচওকে পরাস্ত করতে পারে না।

কোনও বিশ্ববিদ্যালয়ে, যা নামহীন থাকবে না, তাদের ফর্ম পোস্টের পরিবর্তে URL- এর মাধ্যমে তাদের সমস্ত ক্রিয়াকলাপটি পাস করা হয়েছিল।

গুগল বট উপস্থিত না হয়ে এবং তাদের সমস্ত ইউআরএল চালিয়ে এবং তাদের ডেটাবেস মুছে না দেওয়া পর্যন্ত এই জিনিসটি ব্যবহার করেছিল

অবাক হয়ে কেউ সামাজিক প্রকৌশল চালু করেনি, তবে আমি এই নিবন্ধটি থেকে একটি কিক পেয়েছি ।

সংক্ষিপ্তসার: দূষিত ব্যবহারকারীরা কয়েক ডজন ফ্ল্যাশ ড্রাইভ কিনতে পারবেন, এটিকে একটি অটো চালিত ভাইরাস বা ট্রোজান দিয়ে লোড করতে পারেন, তারপরে গভীর রাতে একটি সংস্থার পার্কিংয়ে ফ্ল্যাশ ড্রাইভ ছিটান বলে জানান। পরের দিন, সবাই কাজ করার জন্য দেখায়, চকচকে, ক্যান্ডি-আকৃতির, অপরিবর্তনীয় হার্ডওয়ারের উপর হোঁচট খায় এবং নিজেদেরকে বলে "ওহ ওয়া, ফ্রি ফ্ল্যাশ ড্রাইভ, আমি এতে অবাক হয়েছি!" - 20 মিনিটের পরে পুরো সংস্থার নেটওয়ার্কটি হোজ্জিত।

"পেডো মেলন এ মিনো" , "বন্ধু বলুন এবং প্রবেশ করুন", মরিয়ার গেটে।

মাইক্রোসফ্ট বব
(ক্রেডিট: ড্যানের 20 তম শতাব্দী Abandonware )

আপনি যদি তৃতীয়বার আপনার পাসওয়ার্ডটি ভুলভাবে প্রবেশ করেন, আপনি জিজ্ঞাসা করা হয় যে আপনি নিজের পাসওয়ার্ড ভুলে গেছেন কি না।

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

তবে সুরক্ষা না দেওয়ার পরিবর্তে সঠিক পাসওয়ার্ডটি প্রবেশ না করা অবধি চালিয়ে যাওয়া বা বেশ কয়েকটি ভুল প্রচেষ্টার পরেও আপনাকে লক আউট করার মতো, আপনি যে কোনও নতুন পাসওয়ার্ড প্রবেশ করতে পারবেন এবং এটি আসলটি প্রতিস্থাপন করবে! যে কেউ যে কোনও পাসওয়ার্ড "সুরক্ষিত" মাইক্রোসফ্ট বব অ্যাকাউন্ট দিয়ে এটি করতে পারে।

পূর্বের কোনও প্রমাণীকরণের প্রয়োজন নেই। তার অর্থ ইউজার 1 কেবল তিনবার তাদের পাসওয়ার্ডটি ভুল টাইপ করে চতুর্থবারের মতো একটি নতুন পাসওয়ার্ড প্রবেশ করিয়ে তাদের নিজস্ব পাসওয়ার্ড পরিবর্তন করতে পারে - "পাসওয়ার্ড পরিবর্তন করুন" ব্যবহার করতে হবে না।

এর অর্থ হ'ল ইউজার 1 ইউজার 2, ইউজার 3 এর পাসওয়ার্ডগুলি ঠিক একইভাবে পরিবর্তন করতে পারে। যে কোনও ব্যবহারকারীর অন্য কোনও ব্যবহারকারীর পাসওয়ার্ডটি তিনবার ভুল টাইপ করে তারপরে নতুন পাসওয়ার্ড প্রেরণের পরে পরিবর্তন করতে পারে - এবং তারপরে তারা অ্যাকাউন্টটি অ্যাক্সেস করতে পারে।

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

আমার কাছে জো এক্স এর আগের বাড়ির ঠিকানা ছিল এবং একই শহরে তার নতুন বর্তমান ঠিকানাটি জানা দরকার ছিল, তবে তার সাথে যোগাযোগ করার কোনও উপায় ছিল না। আমি বুঝতে পেরেছিলাম যে তিনি মেল অর্ডার ক্যাটালগগুলির দৈনিক পাইলটি পেয়ে যাচ্ছেন, তাই আমি স্বেচ্ছায় 800 এর নম্বরে ফোন করলাম সি ক্যান্ডিজ (ভিক্টোরিয়ার সিক্রেট, বা সুইস কলোনি বা অন্য কোনও বড় মেলারের বিপরীতে):

আমি: "হাই, আমি জো এক্স I আমার মনে হয় আপনি আমার পুরানো ঠিকানা এবং আমার নতুন ঠিকানা উভয়ই আমাকে আপনার মেইলিং লিস্টে দুবার পেয়েছেন your আপনার কম্পিউটার আমাকে [পুরানো ঠিকানা] বা [নকল ঠিকানা] এ দেখায়? ? "

অপারেটর: "না, আমরা আপনাকে [নতুন ঠিকানায়] দেখাব।"

একটি পাঠ্যবক্সে 1 = 1 প্রদান করা সিস্টেমের সমস্ত ব্যবহারকারীদের তালিকাভুক্ত করে।

জীবনযাত্রার জন্য অ্যাপ্লিকেশন সুরক্ষার পরামর্শদাতা হওয়ার মতো প্রচুর সাধারণ সমস্যা রয়েছে যা আপনাকে কোনও কিছুর মাধ্যমে কোনও ওয়েবসাইটে অ্যাডমিন পেতে দেয়। তবে সত্যিই দুর্দান্ত অংশটি হ'ল যখন আপনি এক মিলিয়ন ডলারের মোজা কিনতে পারেন।

এটি এই গিগের উপর কাজ করা আমার বন্ধু ছিল তবে এটির মর্মার্থটি হ'ল একটি নির্দিষ্ট জনপ্রিয় অনলাইন বইয়ের (এবং সমস্ত কিছু) শপের আইটেমগুলির জন্য দামগুলি একটি গোপন ক্ষেত্র হিসাবে এইচটিএমএলতে সঞ্চিত ছিল। প্রথমদিকে ফিরে এই বাগটি প্রচুর অনলাইন স্টোর বিট করে, তারা কেবল ওয়েবটি বের করতে শুরু করেছিল। খুব সামান্য সুরক্ষা সচেতনতা, আমি বলতে চাইছি কে সত্যিই এইচটিএমএল ডাউনলোড করতে চলেছে, লুকানো ক্ষেত্রটি সম্পাদনা করবে এবং আদেশটি পুনরায় জমা দেবে?

স্বাভাবিকভাবেই আমরা দামটি 0 তে পরিবর্তন করেছিলাম এবং 1 মিলিয়ন জোড়া মোজা অর্ডার করেছি। আপনি দামটিকে নেতিবাচক হিসাবেও পরিবর্তন করতে পারেন তবে এটি করার ফলে লেনদেনের সমাপ্তি তাদের ব্যাকএন্ড বিলিং সফ্টওয়্যার বাফার ওভারফ্লোতে পরিণত হয়েছিল।

আমি যদি অন্য কোনওটি বেছে নিতে পারি তবে এটি ওয়েব অ্যাপ্লিকেশনগুলিতে পাথ ক্যানোনিকালাইজেশন সমস্যা। Foo.com?file=../..//../../etc/passwd করতে সক্ষম হওয়ায় এটি দুর্দান্ত

দুর্ঘটনাক্রমে উত্স নিয়ন্ত্রণে ডাটাবেস রুট পাসওয়ার্ড প্রতিশ্রুতিবদ্ধ। এটি বেশ খারাপ ছিল, কারণ এটি সোর্সফোজে সোর্স নিয়ন্ত্রণ ছিল।

খুব তাড়াতাড়ি পাসওয়ার্ড বদল হয়েছে তা বলা বাহুল্য।

মূল আইটি কর্মীরা সংস্থাটি ছাড়লে প্রশাসক পাসওয়ার্ড পরিবর্তন করছেন না।

যদিও এটি আমি দেখেছি সবচেয়ে খারাপ সুরক্ষা গর্ত নয়। তবে এটি আমি নিজেকে আবিষ্কার করেছি কমপক্ষে সবচেয়ে খারাপ:

অডিওবুকগুলির জন্য একটি দুর্দান্ত সফল অনলাইন শপ সফল প্রমাণীকরণের পরে বর্তমান ব্যবহারকারীর সনাক্তকরণ তথ্য সংরক্ষণ করতে একটি কুকি ব্যবহার করেছিল। তবে আপনি সহজেই কুকিতে ব্যবহারকারীর আইডি পরিবর্তন করতে এবং অন্যান্য অ্যাকাউন্টগুলিতে অ্যাক্সেস করতে এবং সেগুলিতে কিনতে পারেন।

.Com যুগের শুরুতে, আমি বিদেশে একটি বড় খুচরা বিক্রেতার জন্য কাজ করছিলাম। আমাদের প্রতিযোগীরা আমাদের কয়েক মাস আগে একটি অনলাইন স্টোর চালু করায় আমরা খুব আগ্রহের সাথে লক্ষ্য করেছি। অবশ্যই, আমরা এটি চেষ্টা করে গিয়েছিলাম ... এবং দ্রুত বুঝতে পেরেছিলাম যে আমাদের শপিং কার্টগুলি মিশে যাচ্ছে। ক্যোরি স্ট্রিংটি কিছুটা খেলে আমরা বুঝতে পেরেছি যে আমরা একে অপরের সেশন হাইজ্যাক করতে পারি। ভাল সময় সহ, আপনি ডেলিভারি ঠিকানা পরিবর্তন করতে পারেন তবে অর্থ প্রদানের পদ্ধতিটি একা ছেড়ে দিতে পারেন ... আপনার পছন্দের আইটেমগুলিতে কার্টটি পূরণ করার পরে।

আমি বর্তমানে যে সংস্থায় কাজ করি সেখানে প্রথম যখন যোগদান করি, তখন আমার বস সম্ভাব্য নতুন ক্লায়েন্টের বিদ্যমান ই-কমার্স ওয়েবসাইটটি দেখছিলেন। এটি আইআইএস এবং ই-কমার্স উভয়েরই প্রথম দিকে ছিল, এবং সুরক্ষা ছিল, আমরা কি বলব, কঠোর চেয়ে কম less

দীর্ঘ গল্পের ছোট গল্পটি কাটাতে, তিনি একটি ইউআরএল পরিবর্তন করেছেন (কৌতূহলের বাইরে), এবং বুঝতে পেরেছিলেন যে ডিরেক্টরি ব্রাউজিং বন্ধ করা হয়নি, তাই আপনি কেবলমাত্র URL নামটির শেষে পৃষ্ঠার নামটি কেটে ফেলতে পারবেন এবং সমস্ত ফাইল দেখতে পাবেন ওয়েব সার্ভার.

আমরা ডাউনলোড করেছি এমন অ্যাক্সেস ডাটাবেসযুক্ত ফোল্ডারটি শেষ করেছিলাম। এটি ছিল পুরো ই-কমার্স গ্রাহক / অর্ডার ডাটাবেস, কয়েক হাজার এনক্রিপ্ট করা ক্রেডিট কার্ড নম্বর দিয়ে পুনরায় পূরণ করুন।

মানুষ পোস্টিং তাদের পাসওয়ার্ডগুলি উপর প্রকাশ্য ওয়েবসাইট ...

যখন আমি 13 বছর বয়সী তখন আমার স্কুল শিক্ষার্থীদের জন্য একটি সামাজিক নেটওয়ার্ক খোলে। দুর্ভাগ্যক্রমে তাদের জন্য আমি একটি সুরক্ষা বাগ পেয়েছি যেখানে আপনি "? ইউজারআইডি = 123" এর মতো অন্য ইউআইডি-তে ইউআরআই পরিবর্তন করতে এবং সেই ব্যবহারকারীর জন্য লগ ইন করতে পারেন। স্পষ্টতই আমি আমার বন্ধুদের জানিয়েছিলাম এবং শেষ পর্যন্ত স্কুলগুলির সোশ্যাল নেটওয়ার্কগুলি পর্নো দ্বারা পরিপূর্ণ হয়েছিল।

যদিও এটি সুপারিশ করবে না।

আমি মনে করি সুপারজার অ্যাক্সেসের জন্য ফাঁকা ব্যবহারকারীর নাম / পাসওয়ার্ড ক্ষেত্রটি এখন পর্যন্ত সবচেয়ে খারাপ। তবে আমি নিজেই একজনকে দেখেছি

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

খুব খারাপ একজন অপারেটর এত বড় পার্থক্য করে।

আমার যে ব্যাংকের গ্রাহক ছিল তার জন্য খনি হবে। আমি লগ ইন করতে পারিনি, তাই আমি গ্রাহক পরিষেবাটি কল করেছি। তারা আমাকে আমার ব্যবহারকারীর নাম এবং অন্য কিছু চেয়েছিল - কোনও সুরক্ষা প্রশ্ন জিজ্ঞাসা করেনি বা আমার পরিচয় যাচাই করার চেষ্টা করেনি। তারপরে তারা ফাইলটিতে থাকা ইমেল ঠিকানায় পাসওয়ার্ড পুনরায় সেট করার পরিবর্তে আমাকে জিজ্ঞাসা করল যে এটিতে কী ইমেল ঠিকানা প্রেরণ করা হবে। আমি ফাইলে যা ছিলাম তার চেয়ে আলাদা তাদের ঠিকানা দিয়েছিলাম এবং আমার পাসওয়ার্ডটি পুনরায় সেট করতে সক্ষম হয়েছি।

সুতরাং মূলত, সমস্ত হ্যাকারের প্রয়োজন আমার ব্যবহারকারীর নাম এবং সে তারপরে আমার অ্যাকাউন্টটি অ্যাক্সেস করতে পারে। এটি ছিল এমন একটি বড় ব্যাংকের জন্য যা মার্কিন যুক্তরাষ্ট্রে কমপক্ষে 90% লোক শুনেছিল। প্রায় দুই বছর আগে এটি ঘটেছিল happened আমি জানি না এটি কোনও দুর্বল প্রশিক্ষিত গ্রাহক পরিষেবা প্রতিনিধি ছিল বা তা যদি মানক পদ্ধতি ছিল।

আমি আমার তৈরি একটি ভাগ করব। ধরনের।

বছর এবং বছর এবং বছর আগে আমি যে সংস্থাটির জন্য কাজ করছিলাম তাদের এএসপি ওয়েব সাইটে ইন্ডেক্স করতে চেয়েছিলাম। তাই আমি গিয়েছিলাম এবং সূচি সার্ভার সেট আপ করেছি, কয়েকটি অ্যাডমিন ডিরেক্টরি বাদ দিয়েছি এবং সবই ভাল ছিল।

তবে আমার কাছে অজানা কেউ একজন বিক্রয়কর্তাকে ওয়েব সার্ভারে ftp অ্যাক্সেস দিয়েছিল যাতে সে বাড়ি থেকে কাজ করতে পারে, ডায়ালআপের দিনগুলি ছিল এবং এটি তার পক্ষে ফাইলগুলি অদলবদল করার সবচেয়ে সহজ উপায় .... এবং তিনি জিনিসগুলি আপলোড করা শুরু করেছিলেন, আমাদের পরিষেবাগুলিতে মার্কআপ সম্পর্কিত বিশদ নথি সহ .... যে সূচকটি সার্ভার সূচিবদ্ধ করে এবং লোকেরা "ব্যয়" সন্ধান করার সময় পরিবেশন শুরু করে।

বাচ্চাদের মনে রাখবেন, হোয়াইটলিস্টগুলি কালো তালিকাভুক্ত নয়।

সবচেয়ে সহজ, তবুও সত্যই মূল্য ব্যয় হ'ল:

পেমেন্ট সিস্টেম যেমন ব্যবহার ইঞ্জিন যে পেপ্যাল ত্রুটিপূর্ণ যাবে না কারণ পেমেন্ট পরে পেপ্যাল প্রতিক্রিয়াতে ফিরে সফল চেক করা নেই ছিল হিসাবে এটি হওয়া উচিত।

উদাহরণ স্বরূপ:

আমি কয়েকটি সিডি ক্রয়ের ওয়েবসাইটে যেতে পারি এবং কার্টে কিছু সামগ্রী যুক্ত করতে পারি, তারপরে চেকআউটের পর্যায়ে সাধারণত পৃষ্ঠায় একটি ফর্ম থাকে যা পেপালের জন্য ক্ষেত্রের সাথে জনবহুল হয়ে থাকে এবং "পে" তে জমা দেওয়ার বোতামটি থাকে ..

একটি ডিওএম সম্পাদক ব্যবহার করে আমি "লাইভ" ফর্মটিতে যেতে এবং মানটি থেকে পরিবর্তন £899.00করতে £0.01এবং তারপরে জমাতে ক্লিক করতে পারি ...

আমি যখন পেপাল জিনিসগুলিতে থাকি তখন আমি দেখতে পাই যে পরিমাণটি 1 পয়সা, তাই আমি এই অর্থ প্রদান করি এবং পেপাল প্রাথমিক ক্রয়ের সাইটে কিছু পরামিতি পুনঃনির্দেশ করে, যারা কেবলমাত্র payment_status=1ইত্যাদি ইত্যাদি পরামিতিগুলিকে বৈধতা দেয় এবং না করে প্রদত্ত পরিমাণকে বৈধতা দিন।

যদি তাদের জায়গায় পর্যাপ্ত লগিং না থাকে বা পণ্যগুলি স্বয়ংক্রিয়ভাবে প্রেরণ করা হয় তবে এটি ব্যয়বহুল হতে পারে।

সবচেয়ে খারাপ ধরণের সাইটগুলি এমন অ্যাপ্লিকেশন, সফ্টওয়্যার, সংগীত ইত্যাদি সরবরাহ করে sites

কোনও অনলাইন ডকুমেন্ট ম্যানেজার সম্পর্কে, যা আপনার মনে রাখতে পারে এমন প্রতিটি সুরক্ষা অনুমতি সেট করার অনুমতি দেয় ...

এটি ডাউনলোড পাতায় না আসা পর্যন্ত ... ডাউনলোড.aspx? নথিআইডি = 12345

হ্যাঁ, ডকুমেন্টআইডটি ছিল ডাটাবেস আইডি (অটো-ইনক্রিমেন্ট) এবং আপনি প্রতিটি একক সংখ্যা লুপ করতে পারেন এবং যে কেউ কোম্পানির সমস্ত নথি পেতে পারে।

এই সমস্যার জন্য যখন সতর্ক করা হয়েছিল তখন প্রকল্প পরিচালকের প্রতিক্রিয়া ছিল: ঠিক আছে, ধন্যবাদ। তবে এর আগে কেউ তা খেয়াল করেনি, সুতরাং এটি যেমন হয় তেমন রাখি।

একটি নরওয়েজিয়ান পিজ্জা ডেলিভারির একটি সুরক্ষা গর্ত ছিল যেখানে আপনি তাদের নতুন এবং চকচকে ইন্টারনেট পোর্টালে নেতিবাচক পরিমাণে পিজ্জা অর্ডার করতে পারেন এবং সেগুলি বিনামূল্যে পান।