在没有加密的数据库中存储信用卡信息(整个信息:号码+有效期+密码)。此外，该数据库被用作一种CRM，因此许多销售人员可以使用不安全的密码访问它。(自从我3年前离开公司后，他们就没换过名字。)

我的一个朋友是通过GET登录的。不用说，他吸取了惨痛的教训。

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

在这里根据记忆来解释，但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初，他不愿意相信我，甚至他的浏览器都有这个不可靠的“查看源代码”功能。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

我不想承认这一点。但是有一天，当我没有存储库的管理密码时，我发现了如何破解VSS 2005(讨厌的部分是不得不使用VSS:D)

如果您创建了一个具有管理权限的本地计算机帐户，该帐户与VSS帐户具有相同的名称，并登录，VSS会提示:

 "Hey great .. you are logged on to the computer with an account name that 
  I recognize as being the same as one of my accounts,
  and your account has admin privileges on the computer .. 
  so I am going to bypass *my* security and give you admin 
  privileges to all of VSS!!!!"

那次黑客攻击是我在谷歌上看到的第一个链接，当时我试图破解VSS密码

当然，它不会提供您所缺少的VSS密码