我以前的学校有学生的密码和他们的用户名一样，加上很容易得到他们的用户名(一个数字，例如123233)，然后你可以点击添加列，找到学生的名字和姓氏，以及他们的用户名。因此，很容易在他们的账户中随机放入垃圾，让他们认为“机器里有鬼”。

在这里根据记忆来解释，但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初，他不愿意相信我，甚至他的浏览器都有这个不可靠的“查看源代码”功能。

太可怕了，我告诉我所有的朋友取消账户!

我在一家很受欢迎的赌场网站工作。flash前端不仅仅是一个不起眼的终端。他们有一个视觉错误，不正确地管理头像图像。在我和我的朋友解决这个问题的时候，我们发现了一个完全不同的缺陷。

我们观察了从客户端到服务器的流量，发现它是base64编码的。 考虑到它会有所帮助，构建了一个简单的python终端脚本，可以利用它。我们发现客户端会向服务器发送命令和逻辑信息。

几分钟之内，我就能简单地输入我有多少筹码，谁赢了，我有什么手牌，简单地用纯文本写出来!

另一个主要缺陷-用户密码被加密，管理员密码没有使用与以前相同的漏洞，我获得了数据库信息，找到管理员登录并接管了系统。

我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它，买一个新的。

在等待新卡的时候，我需要取钱。于是我走进银行，把我的旧卡给了那位女士，并解释说:“这张卡最近被取消了，但我需要一些钱。你能从这个账户里取点钱吗?”

当我走出银行时，口袋里揣着现金，我意识到我刚刚用一张注销的卡从一个账户里取了钱，而没有被要求出示任何形式的身份证明。

有一家银行通过其网站提供一些服务。开发人员考虑了任何作为整个系统的有效用户登录的人，他们使用URL来识别账号，因此只需更改URL上的ID，就可以查看其他账户的余额。

对于认为身份验证和授权是一回事的web开发人员来说，这是非常糟糕的。

此外，银行不通过其网站转账也很好，否则有些人会很富有;-)

有一个云渲染库的许可证是2500美元，在注册之前有有限的工作时间(比如一分钟)。评估演示可以无限地运行。在exe内容中搜索单词“demo”会显示“[产品名称]demo”和附近的十六进制符号字符串。是的，那是登录名和密码。