ช่องโหว่ด้านความปลอดภัยที่แย่ที่สุดที่คุณเคยเห็น? [ปิด]

ช่องโหว่ความปลอดภัยที่เลวร้ายที่สุดที่คุณเคยเห็นคืออะไร? มันอาจเป็นความคิดที่ดีที่จะเก็บรายละเอียดไว้อย่าง จำกัด เพื่อป้องกันความผิด

สำหรับสิ่งที่คุ้มค่าต่อไปนี้เป็นคำถามเกี่ยวกับสิ่งที่ต้องทำหากคุณพบช่องโหว่ด้านความปลอดภัยและอีกคำตอบหนึ่งที่มีประโยชน์หาก บริษัท ไม่ตอบสนอง (ดูเหมือนจะ)

จากวันแรกของร้านค้าออนไลน์:

รับส่วนลด 90% เพียงป้อน 0.1 ในฟิลด์ปริมาณของตะกร้าสินค้า ซอฟต์แวร์คำนวณค่าใช้จ่ายทั้งหมดอย่างถูกต้องเป็น. 1 * ราคาและการบรรจุหีบห่อของมนุษย์นั้นเป็นการคัดสรรคำศัพท์ที่แปลกประหลาด "." ข้างหน้าของปริมาณที่จะแพ็ค :)

ช่องโหว่ความปลอดภัยที่ลืมได้น้อยที่สุดและน่าเสียดายที่เป็นเรื่องธรรมดาและหาเจอได้ง่ายนั่นคือGoogle แฮ็ค กรณีในจุด:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

มันน่าอัศจรรย์ว่ามีกี่หน้าบนอินเทอร์เน็ตโดยเฉพาะไซต์ของรัฐบาลส่งแบบสอบถาม SQL ผ่านสตริงข้อความค้นหา มันเป็นรูปแบบการฉีด SQL ที่แย่ที่สุดและไม่ต้องใช้ความพยายามเลยในการค้นหาไซต์ที่มีช่องโหว่

ด้วยการปรับแต่งเล็กน้อยฉันสามารถค้นหาการติดตั้งที่ไม่มีการป้องกันของ phpMyAdmin การติดตั้งที่ไม่มีการป้องกันของ MySQL สตริงการสืบค้นที่ประกอบด้วยชื่อผู้ใช้และรหัสผ่าน ฯลฯ

วิศวกรรมสังคม:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

จากbash.org

เรื่องจริงจากวันแรกของฉันที่ Microsoft

คุณยังไม่ทราบว่ากลัวจนกระทั่งวันที่คุณตื่นขึ้นมาและเห็นพาดหัวบน ZDNet.com ในเช้าวันนั้นคือ " หลุมความปลอดภัย Internet Explorer ที่เลวร้ายที่สุดที่เคยมีการค้นพบใน 'Blah' " โดยที่ 'Blah' เป็นรหัสที่คุณเขียนเองหกเดือนก่อน .

ทันทีที่ไปทำงานฉันจะตรวจสอบบันทึกการเปลี่ยนแปลงและพบว่ามีคนในทีมอื่น - คนที่เราไว้วางใจในการเปลี่ยนแปลงผลิตภัณฑ์ - ตรวจสอบรหัสของฉันเปลี่ยนการตั้งค่าคีย์รีจิสทรีความปลอดภัยโดยไม่มีเหตุผล ตรวจสอบอีกครั้งและไม่เคยได้รับรหัสตรวจสอบหรือบอกใครเกี่ยวกับมัน จนถึงทุกวันนี้ฉันยังไม่รู้เลยว่าเขาคิดอะไรอยู่ในโลก หลังจากนั้นไม่นานเขาก็ออกจาก บริษัท (จากความสอดคล้องของเขาเอง)

(UPDATE: การตอบสนองต่อปัญหาที่เกิดขึ้นในความคิดเห็น:

ก่อนอื่นให้สังเกตว่าฉันเลือกที่จะรับตำแหน่งการกุศลที่การเปลี่ยนแปลงคีย์ความปลอดภัยนั้นไม่ได้ตั้งใจและขึ้นอยู่กับความประมาทหรือความไม่คุ้นเคยแทนที่จะเป็นความอาฆาตพยาบาท ฉันไม่มีหลักฐานไม่ทางใดก็ทางหนึ่งและเชื่อว่าเป็นการฉลาดที่จะกล่าวถึงความผิดพลาดของความผิดพลาดของมนุษย์

ประการที่สองระบบเช็คอินของเราแข็งแกร่งกว่าตอนนี้เมื่อสิบสองปีก่อนมาก ตัวอย่างเช่นตอนนี้ไม่สามารถตรวจสอบรหัสโดยไม่มีระบบเช็คอินส่งอีเมลรายการเปลี่ยนแปลงให้ผู้มีส่วนได้เสีย โดยเฉพาะอย่างยิ่งการเปลี่ยนแปลงที่เกิดขึ้นในช่วงปลายรอบเรือมี "กระบวนการ" มากมายรอบตัวซึ่งทำให้มั่นใจได้ว่ามีการเปลี่ยนแปลงที่ถูกต้องเพื่อความมั่นคงและความปลอดภัยของผลิตภัณฑ์)

อย่างไรก็ตามข้อผิดพลาดคือวัตถุที่ไม่ปลอดภัยที่จะใช้จาก Internet Explorer ถูกปล่อยโดยไม่ตั้งใจว่าถูกทำเครื่องหมายว่า "ปลอดภัยสำหรับการเขียนสคริปต์" วัตถุนั้นมีความสามารถในการเขียนไฟล์ไบนารี - ไลบรารีชนิด OLE Automation ในความเป็นจริง - ไปยังตำแหน่งดิสก์โดยพลการ นี่หมายความว่าผู้โจมตีสามารถสร้างไลบรารี่ประเภทที่มีรหัสของโฮสต์ที่เป็นอันตรายบันทึกไว้ในพา ธ ที่เป็นที่รู้จักในตำแหน่งที่ปฏิบัติการได้ให้ส่วนขยายของสิ่งที่จะทำให้สคริปต์ทำงานและหวังว่าผู้ใช้ จะเรียกใช้รหัสโดยไม่ตั้งใจ ฉันไม่ทราบถึงการโจมตี "โลกแห่งความจริง" ที่ประสบความสำเร็จใด ๆ ที่ใช้ช่องโหว่นี้ แต่มันก็เป็นไปได้ที่จะสร้างช่องโหว่ในการทำงานกับมัน

เราจัดส่งปะแก้สาปแช่งอย่างรวดเร็วสำหรับอันนั้นให้ฉันบอกคุณ

ฉันเกิดและต่อมาได้แก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากใน JScript แต่ไม่มีผู้ใดในพวกเขาใกล้เคียงกับการเผยแพร่ที่พวกเขาทำ

ฉันหวังว่าคุณจะเห็นสิ่งที่ผิดพลาดที่นี่ (ผิดจริงชะมัด):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

ผู้รับสุดท้ายคือคนที่มีความสุขที่สุด;)

เทอร์มินัลโง่เง่า IBM System 36 รุ่นเก่ามีการผสมผสานคีย์บอร์ดที่เริ่มการบันทึกแมโคร ดังนั้นเมื่อเทอร์มินัลไม่ได้เข้าสู่ระบบคุณสามารถเริ่มการบันทึกของแมโครและปล่อยให้อยู่ในตำแหน่งนั้น ครั้งต่อไปที่มีคนลงชื่อเข้าใช้การกดแป้นจะถูกบันทึกในแมโครและการบันทึกจะสิ้นสุดโดยอัตโนมัติเมื่อมีการบันทึกคีย์สูงสุดที่อนุญาต เพิ่งกลับมาในภายหลังและเล่นซ้ำแมโครเพื่อเข้าสู่ระบบอัตโนมัติ

ช่องโหว่ด้านความปลอดภัยที่เลวร้ายที่สุดที่ฉันเคยเห็นมาก็คือรหัสของคุณจริงๆและทำให้ Google Bot ลบฐานข้อมูลทั้งหมดของฉัน

ย้อนกลับไปตอนที่ฉันเรียน Classic ASP ครั้งแรกฉันเขียนโค้ดแอปพลิเคชันบล็อกพื้นฐานของตัวเอง ไดเรกทอรีที่มีสคริปต์ผู้ดูแลระบบทั้งหมดได้รับการป้องกันโดย NTLM บน IIS วันหนึ่งฉันย้ายไปที่เซิร์ฟเวอร์ใหม่และลืมที่จะปกป้องไดเรกทอรีใน IIS (อุ๊ปส์) อีกครั้ง

หน้าแรกของบล็อกมีลิงค์ไปยังหน้าจอผู้ดูแลระบบหลักและหน้าจอผู้ดูแลระบบหลักมีลิงก์ DELETE สำหรับแต่ละเรคคอร์ด (โดยไม่มีการยืนยัน)

วันหนึ่งฉันพบว่าทุกระเบียนในฐานข้อมูลถูกลบ (หลายร้อยรายการส่วนบุคคล) ฉันคิดว่าผู้อ่านบางคนบุกเข้าไปในไซต์และลบโดยไม่ตั้งใจทุกรายการ

ฉันมาเพื่อค้นหาจากบันทึก: Google Bot มีการรวบรวมข้อมูลเว็บไซต์ตามลิงค์ผู้ดูแลระบบและดำเนินการติดตามการลบทั้งหมดจึงลบทุกระเบียนในฐานข้อมูล ฉันรู้สึกว่าฉันสมควรได้รับรางวัล Dumbass แห่งปีที่ได้รับความเสียหายจาก Google Bot โดยไม่ได้ตั้งใจ

โชคดีที่ฉันมีข้อมูลสำรอง

หลุมที่แย่ที่สุดที่ฉันเคยเห็นคือบั๊กในเว็บแอปพลิเคชันที่ให้ชื่อผู้ใช้และรหัสผ่านว่างเปล่าจะนำคุณเข้าสู่ระบบในฐานะผู้ดูแล :)

เมื่อสังเกตเห็นสิ่งนี้ใน URL ของเว็บไซต์

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

การเปลี่ยนพารามิเตอร์สุดท้ายเป็น admin = 1 ให้สิทธิ์ผู้ดูแลระบบแก่ฉัน หากคุณจะไว้วางใจการป้อนข้อมูลผู้ใช้อย่างน้อยอย่าส่งโทรเลขที่คุณกำลังทำ!

ฉันเห็นหนึ่งในเรื่องนี้ทุกวัน WTF

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

ไม่มีอะไรสามารถเอาชนะ IMHO นี้ได้

ที่มหาวิทยาลัยไม่น้อยซึ่งจะยังคงไม่ระบุชื่อพวกเขามีการสอบถามการกระทำของพวกเขาทั้งหมดจะถูกส่งผ่าน URL แทนที่จะเป็นแบบฟอร์ม

สิ่งนี้ทำงานได้ดีจนกระทั่ง Google Bot เข้ามาและวิ่งผ่าน URL ทั้งหมดของพวกเขาและเช็ดฐานข้อมูลของพวกเขา

แปลกใจไม่มีใครได้นำขึ้นวิศวกรรมทางสังคม แต่ฉันได้เตะออกจากบทความนี้

สรุป: ผู้ใช้ที่เป็นอันตรายสามารถซื้อแฟลชไดรฟ์ได้สองสามโหลโหลดโดยใช้ไวรัสหรือโทรจันอัตโนมัติแล้วโรยแฟลชไดรฟ์ในลานจอดรถของ บริษัท ในเวลากลางคืน ในวันถัดไปทุกคนปรากฏตัวขึ้นเพื่อทำงานสะดุดกับฮาร์ดแวร์ที่เป็นรูปขนมที่ไม่สามารถต้านทานได้และพูดกับตัวเองว่า "โอ้ว้าวแฟลชไดรฟ์ฟรีฉันสงสัยว่ามีอะไรเกิดขึ้น!" - 20 นาทีต่อมาเครือข่ายของ บริษัท ทั้งหมดถูกปิด

"Pedo mellon a minno" , "พูดเพื่อนและป้อน" บนประตูแห่ง Moria

Microsoft Bob
(เครดิต: การละทิ้งศตวรรษที่ 20 ของแดน )

หากคุณป้อนรหัสผ่านไม่ถูกต้องเป็นครั้งที่สามคุณจะถูกถามว่าคุณลืมรหัสผ่านหรือไม่

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

แต่แทนที่จะมีความปลอดภัยเช่นดำเนินการต่อเพื่อขอรหัสผ่านที่ถูกต้องจนกว่าจะป้อนหรือล็อคคุณหลังจากความพยายามที่ไม่ถูกต้องหลายครั้งคุณสามารถป้อนรหัสผ่านใหม่และมันจะแทนที่รหัสเดิม! ทุกคนสามารถทำได้ด้วยรหัสผ่านบัญชี Microsoft Bob ที่ได้รับการป้องกัน

ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ก่อน หมายความว่า User1 สามารถเปลี่ยนรหัสผ่านของตนเองได้เพียงแค่พิมพ์รหัสผ่านผิดสามครั้งจากนั้นป้อนรหัสผ่านใหม่เป็นครั้งที่สี่โดยไม่ต้องใช้ "เปลี่ยนรหัสผ่าน"

นอกจากนี้ยังหมายความว่า User1 สามารถเปลี่ยนรหัสผ่านของ User2, User3 ... ในลักษณะเดียวกัน ผู้ใช้สามารถเปลี่ยนรหัสผ่านของผู้ใช้คนอื่นเพียงแค่พิมพ์ผิดสามครั้งจากนั้นป้อนรหัสผ่านใหม่เมื่อได้รับแจ้ง - จากนั้นพวกเขาสามารถเข้าถึงบัญชีได้

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

ฉันมีที่อยู่บ้านเดิมของ Joe X และต้องการทราบที่อยู่ปัจจุบันที่ใหม่กว่าของเขาในเมืองเดียวกัน แต่ไม่มีทางติดต่อเขาได้ ฉันคิดว่าเขาได้รับแคตตาล็อกสั่งซื้อทางไปรษณีย์รายวันตามปกติดังนั้นฉันจึงเรียกหมายเลข 800 ของ See's Candies (โดยไม่เห็นด้วยกับ Victoria's Secret หรือ Swiss Colony หรือจดหมายไปรษณีย์ขนาดใหญ่อื่น ๆ ):

ฉัน: "สวัสดีฉันชื่อโจเอ็กซ์ฉันคิดว่าคุณมีรายชื่อผู้รับจดหมายของคุณสองครั้งทั้งที่อยู่เก่าและที่อยู่ใหม่ของฉันคอมพิวเตอร์ของคุณแสดงให้ฉันที่ [ที่อยู่เก่า] หรือที่ [ที่อยู่ปลอม] ?"

ผู้ประกอบการ: "ไม่เราจะแสดงให้คุณที่ [ที่อยู่ใหม่]"

การให้1 = 1ในกล่องข้อความจะแสดงรายการผู้ใช้ทั้งหมดในระบบ

การเป็นที่ปรึกษาด้านความปลอดภัยของแอพพลิเคชั่นสำหรับการใช้ชีวิตมีปัญหามากมายที่ทำให้คุณได้รับผู้ดูแลระบบบนเว็บไซต์ผ่านทาง แต่ส่วนที่เจ๋งจริงๆคือเมื่อคุณสามารถซื้อถุงเท้ามูลค่าหนึ่งล้านดอลลาร์

มันเป็นเพื่อนของฉันที่ทำงานกับกิ๊กนี้ แต่สิ่งที่น่าสนใจก็คือราคาสินค้าในร้านหนังสือออนไลน์ยอดนิยมตอนนี้ (และทุกอย่างอื่น) ถูกเก็บไว้ใน HTML เป็นเขตข้อมูลที่ซ่อนอยู่ ย้อนกลับไปในช่วงแรก ๆ บั๊กนี้มีร้านค้าออนไลน์มากมายพวกเขาเพิ่งจะเริ่มคิดออกเว็บ ฉันตระหนักถึงความปลอดภัยน้อยมากฉันหมายถึงใครที่กำลังจะดาวน์โหลด HTML แก้ไขฟิลด์ที่ซ่อนอยู่และส่งคำสั่งซื้ออีกครั้ง

โดยธรรมชาติเราเปลี่ยนราคาเป็น 0 และสั่งถุงเท้า 1 ล้านคู่ คุณสามารถเปลี่ยนราคาเป็นค่าลบได้ แต่การทำเช่นนี้ทำให้ส่วนหนึ่งของซอฟต์แวร์บัฟเฟอร์การเรียกเก็บเงินแบ็กเอนด์ของพวกเขาล้นจนจบธุรกรรม

ถ้าฉันสามารถเลือกอื่นมันจะเป็นปัญหาเส้นทางเป็นที่ยอมรับในเว็บแอปพลิเคชัน มันวิเศษมากที่ได้ทำ foo.com?file=../../../../etc/passwd

การยืนยันรหัสผ่านรูทฐานข้อมูลไปยังแหล่งควบคุมโดยไม่ตั้งใจ มันค่อนข้างแย่เพราะเป็นแหล่งควบคุมบน Sourceforge

จำเป็นต้องพูดว่ารหัสผ่านมีการเปลี่ยนแปลงอย่างรวดเร็ว

ไม่เปลี่ยนรหัสผ่านของผู้ดูแลระบบเมื่อพนักงานไอทีสำคัญออกจาก บริษัท

แม้ว่านี่จะไม่ใช่ช่องโหว่ที่แย่ที่สุดที่ฉันเคยเห็น แต่นี่เป็นสิ่งที่แย่ที่สุดที่ฉันได้ค้นพบ:

ร้านค้าออนไลน์ที่ประสบความสำเร็จสำหรับหนังสือเสียงที่ใช้คุกกี้ในการจัดเก็บข้อมูลการระบุตัวตนของผู้ใช้ปัจจุบันหลังจากการตรวจสอบสิทธิ์ที่ประสบความสำเร็จ แต่คุณสามารถเปลี่ยน ID ผู้ใช้ในคุกกี้และเข้าถึงบัญชีอื่น ๆ และทำการสั่งซื้อได้อย่างง่ายดาย

ตอนเริ่มต้นของ. com ฉันทำงานให้กับผู้ค้าปลีกรายใหญ่ในต่างประเทศ เราเฝ้าดูด้วยความสนใจอย่างมากเนื่องจากคู่แข่งของเราเปิดตัวร้านค้าออนไลน์หลายเดือนก่อนหน้าเรา แน่นอนเราไปลองดู ... และตระหนักได้อย่างรวดเร็วว่าตะกร้าสินค้าของเรากำลังสับสน หลังจากเล่นกับสตริงการสืบค้นสักครู่เราก็รู้ว่าเราสามารถจี้เซสชันของกันและกันได้ ด้วยช่วงเวลาที่ดีคุณสามารถเปลี่ยนที่อยู่ในการจัดส่ง แต่ปล่อยให้วิธีการชำระเงินเพียงอย่างเดียว ... ทั้งหมดนั้นหลังจากที่คุณได้กรอกรายการสินค้าที่คุณชื่นชอบ

เมื่อฉันเข้าร่วม บริษัท ที่ฉันทำงานอยู่ในตอนแรกเจ้านายของฉันกำลังตรวจสอบเว็บไซต์อีคอมเมิร์ซที่มีอยู่ของลูกค้าใหม่ที่คาดหวัง นี่คือในช่วงแรก ๆ ของ IIS และอีคอมเมิร์ซและความปลอดภัยก็คือเราจะพูดน้อยกว่าที่เข้มงวด

ในการตัดเรื่องสั้นให้สั้นเขาได้เปลี่ยน URL (ออกจากความอยากรู้) และตระหนักว่าการสืบค้นไดเรกทอรีไม่ได้ปิดอยู่ดังนั้นคุณสามารถตัดชื่อหน้าออกท้าย URL และดูไฟล์ทั้งหมดใน เว็บเซิร์ฟเวอร์.

เราสิ้นสุดการเรียกดูโฟลเดอร์ที่มีฐานข้อมูล Access ซึ่งเราดาวน์โหลด มันเป็นฐานข้อมูลลูกค้า / คำสั่งซื้ออีคอมเมิร์ซทั้งหมดประกอบไปด้วยหมายเลขบัตรเครดิตที่ไม่ได้เข้ารหัสหลายพันใบ

คน โพสต์ ของพวกเขา รหัสผ่าน ใน ที่สาธารณะ เว็บไซต์...

เมื่อฉันอายุ 13 ปีโรงเรียนของฉันเปิดเครือข่ายสังคมสำหรับนักเรียน น่าเสียดายสำหรับพวกเขาฉันพบข้อผิดพลาดด้านความปลอดภัยที่คุณสามารถเปลี่ยน URI เป็น userID อื่นเช่น "? userID = 123" และเข้าสู่ระบบสำหรับผู้ใช้นั้น เห็นได้ชัดว่าฉันบอกเพื่อนของฉันและในที่สุดเครือข่ายสังคมของโรงเรียนก็เต็มไปด้วยสื่อลามก

แม้ว่าจะไม่แนะนำ

ฉันคิดว่าฟิลด์ชื่อผู้ใช้ / รหัสผ่านที่ว่างเปล่าสำหรับการเข้าถึง superuser นั้นแย่ที่สุด แต่สิ่งหนึ่งที่ฉันได้เห็นคือ

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

ผู้ประกอบการที่แย่มากคนหนึ่งสร้างความแตกต่างอย่างมาก

ฉันจะเป็นธนาคารที่ฉันเป็นลูกค้าของ ฉันไม่สามารถเข้าสู่ระบบได้ดังนั้นฉันจึงเรียกฝ่ายบริการลูกค้า พวกเขาขอชื่อผู้ใช้และไม่มีอะไรอื่น - ไม่ถามคำถามเพื่อความปลอดภัยหรือพยายามยืนยันตัวตนของฉัน จากนั้นแทนที่จะส่งการรีเซ็ตรหัสผ่านไปยังที่อยู่อีเมลที่พวกเขาบันทึกไว้พวกเขาถามฉันว่าที่อยู่อีเมลใดที่จะส่งไป ฉันให้ที่อยู่ที่แตกต่างจากที่ฉันบันทึกไว้และสามารถรีเซ็ตรหัสผ่านของฉันได้

โดยพื้นฐานแล้วแฮ็กเกอร์ทุกคนจะต้องมีชื่อผู้ใช้ของฉันและเขาก็สามารถเข้าถึงบัญชีของฉัน นี่เป็นธนาคารใหญ่ที่อย่างน้อย 90% ของคนในสหรัฐอเมริกาจะเคยได้ยิน เรื่องนี้เกิดขึ้นประมาณสองปีที่ผ่านมา ฉันไม่รู้ว่ามันเป็นตัวแทนฝ่ายบริการลูกค้าที่ผ่านการฝึกอบรมมาไม่ดีหรือเป็นขั้นตอนมาตรฐาน

ฉันจะแบ่งปันหนึ่งฉันสร้าง ชนิดของ

ปีที่แล้วและหลายปีที่ผ่านมา บริษัท ที่ฉันทำงานเพื่อสร้างดัชนีที่ต้องการบนเว็บไซต์ ASP ของพวกเขา ถ้าอย่างนั้นฉันไปและตั้งค่าเซิร์ฟเวอร์ดัชนีแยกไดเรกทอรีผู้ดูแลระบบไม่กี่แห่งและทุกอย่างก็ดี

อย่างไรก็ตามฉันไม่ทราบว่ามีใครบางคนให้พนักงานขายเข้าถึง ftp ไปยังเว็บเซิร์ฟเวอร์เพื่อให้เขาสามารถทำงานได้จากที่บ้านนี่คือวันของการโทรออกและมันเป็นวิธีที่ง่ายที่สุดสำหรับเขาที่จะแลกเปลี่ยนไฟล์ .... และเขาก็เริ่มอัพโหลดสิ่งต่าง ๆ รวมถึงเอกสารที่ให้รายละเอียดเกี่ยวกับมาร์กอัปในบริการของเรา .... เซิร์ฟเวอร์ดัชนีใดที่จัดทำดัชนีและเริ่มแสดงผลเมื่อผู้ใช้ค้นหา "ต้นทุน"

จำเด็ก ๆ บัญชีขาวไม่ใช่บัญชีดำ

หนึ่งในสิ่งที่ง่ายที่สุด แต่คุ้มค่าจริงๆคือ:

ระบบการชำระเงินที่ใช้เอ็นจิ้นเช่นPayPalสามารถมีข้อบกพร่องได้เนื่องจากการตอบกลับจาก PayPal หลังจากการชำระเงินสำเร็จไม่ได้ตรวจสอบตามที่ควรจะเป็น

ตัวอย่างเช่น:

ฉันสามารถไปที่เว็บไซต์ซื้อซีดีและเพิ่มเนื้อหาบางอย่างลงในรถเข็นจากนั้นในระหว่างขั้นตอนการชำระเงินมักจะมีแบบฟอร์มบนหน้าเว็บที่ได้รับการเติมด้วยฟิลด์สำหรับ paypal และปุ่มส่งเพื่อ "จ่าย"

ใช้ DOM Editor ฉันสามารถเข้าไปในรูปแบบ "สด" และเปลี่ยนค่าจาก£899.00เป็น£0.01แล้วคลิกส่ง ...

เมื่อฉันอยู่ฝ่าย PayPal ฉันเห็นว่าจำนวนเงินคือ 1 เพนนีดังนั้นฉันจึงจ่ายเงินให้และ PayPal เปลี่ยนเส้นทางพารามิเตอร์บางอย่างไปยังไซต์ซื้อเริ่มต้นผู้ตรวจสอบเฉพาะพารามิเตอร์เช่นpayment_status=1ฯลฯ และไม่ ตรวจสอบจำนวนเงินที่จ่าย

สิ่งนี้อาจมีค่าใช้จ่ายสูงหากไม่มีการเข้าสู่ระบบที่เพียงพอหรือมีการจัดส่งผลิตภัณฑ์โดยอัตโนมัติ

ไซต์ที่เลวร้ายที่สุดคือไซต์ที่ให้บริการแอพพลิเคชั่นซอฟต์แวร์เพลง ฯลฯ

วิธีจัดการเกี่ยวกับเอกสารออนไลน์ที่อนุญาตให้ตั้งค่าสิทธิ์ความปลอดภัยทุกครั้งที่คุณจำได้ ...

นั่นคือจนกว่าคุณจะไปที่หน้าดาวน์โหลด ... download.aspx? documentId = 12345

ใช่ documentId คือ ID ฐานข้อมูล (เพิ่มอัตโนมัติ) และคุณสามารถวนซ้ำทุกหมายเลขเดียวและทุกคนสามารถรับเอกสารทั้งหมดของ บริษัท ได้

เมื่อได้รับการแจ้งเตือนสำหรับปัญหานี้การตอบสนองของผู้จัดการโครงการคือ: โอเคขอบคุณ แต่ไม่มีใครสังเกตเห็นสิ่งนี้มาก่อนดังนั้นเรามาดูกันดีกว่า

การส่งมอบพิซซ่านอร์เวย์มีความปลอดภัยหลุมที่คุณสามารถสั่งซื้อเชิงลบจำนวนของพิซซ่าที่พอร์ทัลอินเทอร์เน็ตใหม่และเงาของพวกเขาและพวกเขาได้ฟรี