我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说，网站没过多久就倒闭了。没有在线备份，所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

当我第一次加入我现在工作的公司时，我的老板正在查看一个潜在新客户的现有电子商务网站。这是在IIS和电子商务的相当早期，我们可以说，安全性不那么严格。

长话短说，他改变了一个URL(只是出于好奇)，并意识到目录浏览并没有关闭，所以你可以把URL末尾的页面名称剪掉，然后看到web服务器上的所有文件。

最后我们浏览了一个文件夹，里面有一个Access数据库，我们下载了这个数据库。它是整个电子商务客户/订单数据库，充满了数千个未加密的信用卡号码。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

在密码数据输入元素中没有控制逻辑操作符(OR)。通过使用它，每个人都可以很容易地通过其他的条件。对于，select查询将像这样:

select *
from TheTable
where UserName=@id And Password=@pass OR 1=1

谁能忘记Windows 98的经典安全漏洞呢?

复制密码文本*********并将其粘贴到文字处理器中，就会显示几乎任何东西的密码。

我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它，买一个新的。

在等待新卡的时候，我需要取钱。于是我走进银行，把我的旧卡给了那位女士，并解释说:“这张卡最近被取消了，但我需要一些钱。你能从这个账户里取点钱吗?”

当我走出银行时，口袋里揣着现金，我意识到我刚刚用一张注销的卡从一个账户里取了钱，而没有被要求出示任何形式的身份证明。