一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同，其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号)，你就可以修改他们的密码。

两个系统之间的“统一登录”——这暴露了密码为免费文本.........在url中!!

这是一个“离岸”的政府项目。幸运的是，它很早就被注意到了。可怕的是开发人员并没有看到这么多的问题-真的让你怀疑。

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

我继承了一个客户项目来照看:一个ASP。网项目 (构建于1.1)，其中50%是编译DLL(没有编译DLL) 源代码)和50%的JIT编译后代码。

整个网站应该只对会员开放——除了 原来的开发人员已经建立了一个后门:只需提交 用空白的用户名和密码登录表单，你就会 找到自己作为一个秘密的超级管理员登录:做 什么都看，什么都看。

您猜对了:所有的身份验证代码都被隐藏了 在预编译的DLL中。最糟糕的是当我 被告知“它不在bug列表中，那么客户端呢? 不会付钱，所以离开它”。我照做了，现在还在直播 今天。

我的任务是发现一个用于报告的ODBC DSN，其中密码与用户匹配，并且用户属于数据库服务器管理组。

因此，任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权，而且身份验证非常弱。

我在一家公立医院工作，这个软件几乎安装在该州每家政府医院的每一台电脑上，数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。

最糟糕的是，我们悄无声息地报告了安全漏洞，然后正式报告，但在我继续在那里工作的2年里，它仍然没有修复，那已经是5年前的事了。

我听说，当你以电子方式提交申报表时，Turbo Tax曾经以纯文本文件发送你的SSN。这似乎不是个好主意。

我还知道一家公司将信用卡信息存储在桌面上的纯文本CSV文件中。然后通过FTP发送到支付网关....