当我还在上中学的时候，县里的学校系统设置了所有的“安全”软件来防止孩子们接触部分互联网，或者改变配置设置和安装垃圾软件。除了该软件非常边缘的事实(一些shell修改可以通过在文件>保存框中单击鼠标右键绕过)，他们还设置了教师的密码来教学。

是啊，真的很安全。

我曾经听说过一个在银行工作的程序员，他们以小数点后16位的精度计算他们的内部数据(包括账户余额)。

所以这个家伙改变了银行转账程序，每笔交易将0.00001美元转到他自己的账户，剩下的转到原来的目的地。我认为他们很快就抓住了他，但我不得不承认，当我第一次听说他的想法时，我觉得它很好。

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说，网站没过多久就倒闭了。没有在线备份，所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

我所见过的最糟糕的漏洞是web应用程序中的一个漏洞，即提供空用户名和密码将以管理员身份登录。

我的目标是我曾经的客户。我无法登录，所以我打了客服电话。他们只问了我的用户名，没有问任何安全问题，也没有试图验证我的身份。然后，他们没有将密码重置发送到他们存档的电子邮件地址，而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址，并重新设置了密码。

所以本质上，黑客只需要我的用户名，他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。