我见过的那些愚蠢的安全漏洞

知名安全技术博主 Tony Hunt 吐槽了一些正规公司、正规网站的安全漏洞：HTTP + cookie 里明文存放用户名密码；输入用户名与生日就能重设密码；密保问题；邮箱绑定个人信息等等。

　　我的朋友 Lars Klint 发过这条推：「你的密码并不是独一无二的」

（附图中的提示为：密码已经被 XXX 使用。请换一个。）

　　我顺手把它转发了出去，因为我知道还有比这更疯狂的事情。Twitter 用户没有把它当作一个在 Reddit 上流行的笑话，而是带着恐惧和指责评论它。事实上，这完全是可能的。呵呵，我看到过一些非常愚蠢的安全问题，它不仅让我相信这篇 tweet 的真实性，并且认为这非常有可能发生。你不信？来，朋友，帮我拿着啤酒，我来给你说道说道…

　　记住我

　　假设现在你想做一个“记住我”功能，就是在方框里打勾，然后下次回到网站时，已经登录的那种。这是 Black 和 Decker 的做法：

　　是的，这是 cookie 中 Base64 编码版本的密码，每次请求时的发送其实都不安全，而且由于它没有被标记为“安全的”，整个发送过程都很自由，容易被获取。

　　觉得这很糟糕？试试我在这一篇文章中提到的 Aussie Farmers Direct 的做法：

　　看吧，这是安全的，但它仍然是一个 cookie 中的密码，并且由于它不是 HttpOnly，在网站上仍然会有 XSS 攻击的风险。那对此他们是如何回应的？这就引出了下一个话题…

　　企业的反应

　　回到 2013 年，我做了一件尽职的事情，让 Aussie Farmers 知道了上述风险。我还建议，他们不应该通过邮件发送密码（这是我最讨厌的事情之一），之后我收到了一封来自自称是“市场部经理”的人的回信：

　　到目前为止，我司还没有发生过，因为给新用户通过电子邮件发送密码，而引起的安全问题，而且据我所知，我本人网上注册的 90% 网站，也遵循着一样的流程。

　　这让我想起了国际石油和天然气公司（Oil and Gas International）的这条评论，是它在我的新 HTTPS 课程文章中给出的回复。现在当登录表单没有被安全加载时，Firefox 开始警告用户，而这让他们变得暴躁：

　　你方对于不安全的密码和/或登录的公告，会自动出现在本司（Oil and Gas International）的登录页面上，但并未得到我方的许可，请立即移除它。我方有自己的安全系统，并且超过 15 年来从未被攻破。你发出的公告引起了订阅者的关注，并对本司的业务造成了不良影响。

　　他们的网站，呃，在那之后不久就没法用了（SQL 注入风险可能没有帮到他们）。但网站现在又能用了，就是不清楚，是不是他们已经把时钟往前重置了整整 15 年。

　　（译注：SQL Injection，即 SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。）

　　虽然我们谈论的是无关紧要的安全意见，但英国天然气公司（British Gas）过去也遇到了一些困难：

　　（内容：@BritishGasHelp 不允许粘贴对于密码管理不是一个有效的举措，完全没有必要，而且很危险！

　　@passy 如果我们允许用户粘贴，我们将失去安全证书，这会让我们置身在暴力破解的危险中，不管怎样，谢谢你的提醒~ Steve）

　　当我们身处世界的一角时，很难忽视 Twitter 上像乐购（Tesco）这种大企业偶尔精神错乱的例子 ：

　　（@troyhunt 请不要担心，您的密码正被安全地存储，它只在密码提醒邮件中显示，供您进行粘贴操作）

　　但是，你会说“嘿，安全密码重置很难！”不尽然，看看这个…

　　密码重置

　　一切是这样开始的：

　　（内容：@BetfairHelpdesk 那些使用用户名和生日登录的人，是不是应该都应该改改他们的密码？）

　　你原本可能会想:“哦，你的用户名是电子邮件地址，然后 Betfair 给你发了一封电子邮件，而你通过其中包含的特殊链接就能重置密码”，但现在你知道了，这种想法太想当然了。出乎意料的是，Betfair 实际上并没有相信 Paul 的说法，所以我做了个视频来解释一切。

　　这是听上去的样子：如果你知道某人的电子邮件地址和生日，你就可以任意重置他的密码。但是，在双方交流的过程中，一定是哪里出错了，导致 Betfair 板起脸来，“好心地”提醒 Paul，如果他把电子邮件地址和生日告诉其他人，就违反了他们的条款。

　　（内容：@BetfairHelpdesk 你似乎是在回避问题：只需要用户名和生日就能更改密码，是这样的吗？

　　@psawers 是的，但是如果你告诉了别人这个信息，就违反了我们的条款）

　　你知道他们真正需要的是什么吗？安全问题…

　　安全问题

　　我在这儿举个例子：

　　（内容：这是我见过的最糟糕的安全问题）

　　什么？这个太一般了？那么试试这个：

　　我刚刚上的一个网站，它有个这样的安全问题：你祖母家的狗叫什么？

　　&*#￥*&(*%^$

　　这些安全问题真是疯了！我是说，这都是怎么想的？总体而言，要么采取不变的数据，比如你母亲的姓，或者可枚举的问题，比如你第一辆车的样子、你最喜欢的电影…在本文中，安全问题应该获得一席之地！现在让我们看看一些更为理智的东西…

　　登录

　　你知道登录过程中最难的一步是什么？密码。要是有更简单的方法就好了：

　　（内容：呃…玩真的吗？这简直蠢到了一种新高度）

　　你可能会想“它只是一条 tweet，不一定是真的”，但你错了，它就是真的，这是 archive.org 的快照：

　　（内容：输入手机号和密码快速登录，密码默认是手机号后四位）

　　在我们精神失常，说出“密码必须消失”这种话之前，还是要冷静一下，毕竟还没有人知道如何做到这一点！此外还有很多有帮助的技术解决方案，但没人真正想要使用它们，而事实是，为了规避技术问题，我们反而设置了更多的密码。但是，我还看到过更糟糕的…

　　物理安全

　　我觉得我找不到比这更荒谬的例子了，所以我把它放在这儿：

　　（内容：“100％ 聚酯薄膜”双屏蔽 1.3c 级电缆，具有抗病毒保护功能，可减少病毒噪音，并获得完美的图像传输。）

　　你知道真正让我恼火的是什么吗？想想你那些不懂技术的朋友和亲戚，他们为了让 DVD 播放机与电视机一起工作，走进商店拿起两根 HDMI 线缆，然后翻到盒子背面，开始比较产品规格。当看到其中一根有抗病毒保护，而另一个根没有，你认为他们会选择哪根? ！

　　现在，还有一件事…

　　账户枚举

　　我想把“最好的”东西留到最后讲。说它是最好的，是因为它仍然是一个随处可见、愚蠢的安全问，尽管愚蠢，但至少人们正在积极修复它：

　　（内容：我们马上要更换登录系统了，但同时，用户仍然可以使用我们的快速结账功能，敬请期待~）

　　这是距离本文八个月前的事了，那么这个愚蠢的安全问题究竟是什么？想象一下：你前往 Strawberrynet，扔掉了购物车里的一些香薰、爽肤水或其他什么，然后点击结账按钮。呈现在你面前的是：

　　（内容：请输入电子邮箱地址以结账）

　　你需要输入电子邮件地址，可以是网站上的任何邮件地址，之后，你就可以看到他人的个人资料了：

　　等等，这是什么鬼？！这是因为他们将个人数据与系统上的电子邮件地址进行了捆绑。而且由于这是世界上（访问量）最大的五千个网站之一，每天有许多人打开浏览，从而在网站中留下了很多的数据。你可以输入一个女性的名字（网站主要卖化妆品）再加上一个常见的电子邮箱后缀，之后就是惊喜啦！如果你认为这有点可怕，呵呵，这实际上正是网站的一个特色：

　　请注意，经过我们的调查，绝大多数用户都喜欢我们这个“不带密码”的系统。使用您的电子邮件地址作为密码已经足够安全了。

　　才怪，这根本不安全！我在八月写了篇列举网站精神错乱的文章，其中提到了他们早期的 tweet，但他们似乎完全无视这个问题。我甚至创建了一个帐户来检测它的工作原理：

本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标软件测试之测试管理频道！