去了一个汽车经销商的付费网站，会员费很高。只要用“test”作为用户名，用“Test1”作为密码。我进去了。

我之前至少有一个同事可能符合这个条件。

当你丢失了密码和找回表格时，询问用户名和你的电子邮件。并且不验证电子邮件并将密码发送到指定的电子邮件。

刚)一/总动员:

这是在一个本地电视付费/订阅的网站上。很容易找到用户名，很多人使用名字。今天这个电视频道已经破产了(因为其他原因，比如缺乏专业精神)。

事实上，只要使用文件/进程十六进制编辑器，就可以在大多数未加密的应用程序或文件上绕过安全性或预期功能。当然，在大多数游戏(在线或离线)中给自己无限的金币或上帝模式是很棒的，但它也很棒，只是抓取或编辑你想要的值，包括密码。事实上，有时候你只需要记事本。幸运的是，记事本不在DMCA联邦控制的计算机应用程序名单上…然而。

编辑:我指的是利用“皇帝的新衣”场景，用最简单的工具识别安全缺陷。这种场景在任何语言或平台的编程或消费者社区中都很常见，甚至可以成为通用标准。

我被告知，我们总机部门的哔哔系统有一个可以用来发送消息的web前端，尽管它很丑，而且不太友好，所以我想看看我们是否可以在我们的内部网主站上使用一个表单，并通过我们的服务器将值提交给他们。

使用User和Admin角色访问系统有一个简单的用户名/密码表单，因此我查看了一下如何实现处理安全性。我发现存储了以下两个cookie:

Username: [username I had used]
Admin: False

为了确保它像我想象的那样糟糕，我打开Firefox，给它url，创建2个cookie，我的用户名和管理员:真，瞧，我有管理员权限。为了验证它，我创建了一个新用户，没有任何问题。更糟糕的是，在本地使用用户名意味着日志将显示我的操作来自任何我想要给它的人。

通过不公开来实现安全是行不通的，但当你把人们需要的一切都放在银盘上时，它就不那么管用了。

有一个云渲染库的许可证是2500美元，在注册之前有有限的工作时间(比如一分钟)。评估演示可以无限地运行。在exe内容中搜索单词“demo”会显示“[产品名称]demo”和附近的十六进制符号字符串。是的，那是登录名和密码。