高中时，实验室正在运行windows的早期版本。政府在一项安全计划上花费了大量资金。

负责实验室的先生来找我，让我绕过系统看看它是否安全。“没关系，你不会有麻烦的。”

我重新启动，按f8，当它问我是否要加载安全程序时，按N，然后Y到其他所有东西上。

在文本框中输入1=1将列出系统中的所有用户。

"select * from LoginMaster where UserId='" + txtUserId.Text + "' 

                           and Password='" + txtPassword.Text + "';"

我曾在一个经营直销业务的生产网站上看到过这种情况。上面的Sql语句非常非常容易受到Sql注入的攻击。

我还将在这里列出HACME银行。根据网站Hacme银行是:

Hacme Bank™ is designed to teach application developers, programmers, architects and security professionals how to create secure software. Hacme Bank simulates a "real-world" web services-enabled online banking application, which was built with a number of known and common vulnerabilities. This allows users to attempt real exploits against a web application and thus learn the specifics of the issue and how best to fix it. The web services exposed by Hacme Bank are used by our other testing applications including Hacme Books and Hacme Travel.

想到这一点，我所见过的最糟糕的安全漏洞是当管理电子门锁的人说“你是什么意思，锁不知道公共假日”?

是的，每个周一到周五都是公共假日，因为门系统已经安装好了，我看到前门在08:00-17:30没有锁。

不过这还不是我见过的最严重的安全漏洞。但这至少是我自己发现的最糟糕的情况:

一个非常成功的在线有声读物商店在成功认证后使用cookie存储当前用户的身份信息。但你可以很容易地在cookie中更改用户ID，并访问其他账户并在这些账户上购物。

在我尝试的一个免费网络主机上，用“忘记密码”的方法将密码发送给你时出现了一个逻辑错误——如果你没有输入电子邮件地址(辅助电子邮件是可选的)，它会将主地址的密码通过电子邮件发送给每个没有提供辅助电子邮件的用户。

一天，我和其他数百人收到一封电子邮件，里面有数百个用户名和密码，密码都是明文。