在没有加密的数据库中存储信用卡信息(整个信息:号码+有效期+密码)。此外，该数据库被用作一种CRM，因此许多销售人员可以使用不安全的密码访问它。(自从我3年前离开公司后，他们就没换过名字。)

我的一个朋友是通过GET登录的。不用说，他吸取了惨痛的教训。

我们工作时的手机。

你必须用你的4位ID登录，然后按#，然后输入你的4位密码和#。但如果你不输入任何密码并按#，它就会让你登录。

Failphone失败。

我有Joe X以前的家庭地址，需要知道他在同一城市的新地址，但没有办法联系到他。我估计他每天都会收到一堆邮购目录，所以我随意拨打了See’s Candies的800电话(与维多利亚的秘密、瑞士殖民地或任何其他大型邮寄公司不同):

我:“嗨，我是Joe x。我想我已经在你的邮件列表中出现过两次了，我的旧地址和新地址都有。你的电脑显示我的地址是[旧地址]还是[假地址]?”

接线员:“不，我们给你看[新地址]。”

一个让我害怕的安全漏洞是在我曾经维护的一个遗留应用程序中，其中有一个settings.ini文件，其中的数据库凭据是纯文本的，所有用户密码都以纯文本的形式存储在数据库中。

我见过的大多数安全漏洞都发生在我的高中和大学。

首先，我发现我可以通过(非常简单的)ping flood攻击来关闭学校的互联网。不仅仅是我高中的互联网，整个学校系统，包括大学的一部分。绝对没有速率限制。在我演示之后，他们最终把它修好了。(顺便说一句，我的第一份编程工作就是靠这种“宣传”获得的)

第二点，也是可能性更大的一点是:

Ok, so every computer in the school was connected to a domain and such. So, when you logged onto a computer, it would copy down a generic user directory(including application data, etc folders) and then proceed with the login. Some people had their own logins other than the generic "student" account for one reason or another. Well, while I was browsing the public server where everything was shared on, I found a /users directory. Upon looking at it I discovered froma generic student account I had read-write to every users directory, including teachers, administrator, and the generic student account.

为了愚人节，我计划写一个简单的批处理文件或小程序，弹出一些类似Class of 09 rocks的东西!登陆每个人只是为了演示它，但我退缩了。我也从来没有告诉过管理员，所以这个安全漏洞可能仍然存在。

在这里根据记忆来解释，但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初，他不愿意相信我，甚至他的浏览器都有这个不可靠的“查看源代码”功能。