我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它，买一个新的。

在等待新卡的时候，我需要取钱。于是我走进银行，把我的旧卡给了那位女士，并解释说:“这张卡最近被取消了，但我需要一些钱。你能从这个账户里取点钱吗?”

当我走出银行时，口袋里揣着现金，我意识到我刚刚用一张注销的卡从一个账户里取了钱，而没有被要求出示任何形式的身份证明。

login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

当你丢失了密码和找回表格时，询问用户名和你的电子邮件。并且不验证电子邮件并将密码发送到指定的电子邮件。

刚)一/总动员:

这是在一个本地电视付费/订阅的网站上。很容易找到用户名，很多人使用名字。今天这个电视频道已经破产了(因为其他原因，比如缺乏专业精神)。

1-800 dominos will give unlisted address's related to any target phone number. When prompted if you are calling about the phone number you called from select no. The system will prompt you for a new phone number, the system will then read back to you the name and address that's associated to this phone number. Enter in your target's phone number and you now have their name and address. This is pretty common with automated ordering systems and if dominos has fixed this there are literally hundreds more.

我所见过的最糟糕的是信用卡、个人识别码和姓名以纯文本形式存储。我差点心脏病发作了。

一个让我害怕的安全漏洞是在我曾经维护的一个遗留应用程序中，其中有一个settings.ini文件，其中的数据库凭据是纯文本的，所有用户密码都以纯文本的形式存储在数据库中。

我见过的大多数安全漏洞都发生在我的高中和大学。

首先，我发现我可以通过(非常简单的)ping flood攻击来关闭学校的互联网。不仅仅是我高中的互联网，整个学校系统，包括大学的一部分。绝对没有速率限制。在我演示之后，他们最终把它修好了。(顺便说一句，我的第一份编程工作就是靠这种“宣传”获得的)

第二点，也是可能性更大的一点是:

Ok, so every computer in the school was connected to a domain and such. So, when you logged onto a computer, it would copy down a generic user directory(including application data, etc folders) and then proceed with the login. Some people had their own logins other than the generic "student" account for one reason or another. Well, while I was browsing the public server where everything was shared on, I found a /users directory. Upon looking at it I discovered froma generic student account I had read-write to every users directory, including teachers, administrator, and the generic student account.

为了愚人节，我计划写一个简单的批处理文件或小程序，弹出一些类似Class of 09 rocks的东西!登陆每个人只是为了演示它，但我退缩了。我也从来没有告诉过管理员，所以这个安全漏洞可能仍然存在。