事实上，只要使用文件/进程十六进制编辑器，就可以在大多数未加密的应用程序或文件上绕过安全性或预期功能。当然，在大多数游戏(在线或离线)中给自己无限的金币或上帝模式是很棒的，但它也很棒，只是抓取或编辑你想要的值，包括密码。事实上，有时候你只需要记事本。幸运的是，记事本不在DMCA联邦控制的计算机应用程序名单上…然而。

编辑:我指的是利用“皇帝的新衣”场景，用最简单的工具识别安全缺陷。这种场景在任何语言或平台的编程或消费者社区中都很常见，甚至可以成为通用标准。

在没有加密的数据库中存储信用卡信息(整个信息:号码+有效期+密码)。此外，该数据库被用作一种CRM，因此许多销售人员可以使用不安全的密码访问它。(自从我3年前离开公司后，他们就没换过名字。)

太可怕了，我告诉我所有的朋友取消账户!

我在一家很受欢迎的赌场网站工作。flash前端不仅仅是一个不起眼的终端。他们有一个视觉错误，不正确地管理头像图像。在我和我的朋友解决这个问题的时候，我们发现了一个完全不同的缺陷。

我们观察了从客户端到服务器的流量，发现它是base64编码的。 考虑到它会有所帮助，构建了一个简单的python终端脚本，可以利用它。我们发现客户端会向服务器发送命令和逻辑信息。

几分钟之内，我就能简单地输入我有多少筹码，谁赢了，我有什么手牌，简单地用纯文本写出来!

另一个主要缺陷-用户密码被加密，管理员密码没有使用与以前相同的漏洞，我获得了数据库信息，找到管理员登录并接管了系统。

About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.

我曾经打电话给一个BBS，它在首页上有一个“Drop To DOS”选项。菜单上没有列出来，但我打错了，无意中找到了。

然后我可以远程访问这家伙的DOS命令行。

一位同学曾经不小心把密码发到了推特上……那是个很严重的安全漏洞。