我曾经做过一份工作，其中有一个用Java代码编写的安全层，用于检查用户是否有权编辑DB表列。这是函数的样子:

public boolean canEdit(User user, DBColumn column) {
    if(true) {
        return true;
    } else {
        return false;
    }
}

我的目标是我曾经的客户。我无法登录，所以我打了客服电话。他们只问了我的用户名，没有问任何安全问题，也没有试图验证我的身份。然后，他们没有将密码重置发送到他们存档的电子邮件地址，而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址，并重新设置了密码。

所以本质上，黑客只需要我的用户名，他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。

整个经典ASP购物车“Comersus”。整个事情是意大利面条代码的混乱，所有的SQL语句都是成熟的SQL注入，因为没有做任何过滤。可悲的是，我不幸地处理了近两年的“申请”，这绝对是一场噩梦!

不是技术上的安全漏洞，但仍然是一个安全漏洞:

我的银行卡最近被自动取款机吃了，我花了几个星期才把它拿回来。当它最终到达银行时，银行的一位女士打电话给我，问我是想自己取卡还是让他们邮寄给我。她还告诉我，如果他们要寄给我，他们会关闭它，直到我打电话给他们确认它安全抵达我家。

我收到了这张卡，并附上了一封简短的信，上面有确切的联系方式，其中包括一张便条，说我需要打电话重新启用这张卡。我只是打电话给他们，给了他们我的名字和账号，这两个都印在卡上，他们重新启用了卡。

基本上，如果有人抢了那封信，他们就会有信用卡和银行号码，以及所有需要的信息，让银行相信实际上是我打来的。所以那里的安全系统不太好。

我不想承认这一点。但是有一天，当我没有存储库的管理密码时，我发现了如何破解VSS 2005(讨厌的部分是不得不使用VSS:D)

如果您创建了一个具有管理权限的本地计算机帐户，该帐户与VSS帐户具有相同的名称，并登录，VSS会提示:

 "Hey great .. you are logged on to the computer with an account name that 
  I recognize as being the same as one of my accounts,
  and your account has admin privileges on the computer .. 
  so I am going to bypass *my* security and give you admin 
  privileges to all of VSS!!!!"

那次黑客攻击是我在谷歌上看到的第一个链接，当时我试图破解VSS密码

当然，它不会提供您所缺少的VSS密码

"select * from LoginMaster where UserId='" + txtUserId.Text + "' 

                           and Password='" + txtPassword.Text + "';"

我曾在一个经营直销业务的生产网站上看到过这种情况。上面的Sql语句非常非常容易受到Sql注入的攻击。

我还将在这里列出HACME银行。根据网站Hacme银行是:

Hacme Bank™ is designed to teach application developers, programmers, architects and security professionals how to create secure software. Hacme Bank simulates a "real-world" web services-enabled online banking application, which was built with a number of known and common vulnerabilities. This allows users to attempt real exploits against a web application and thus learn the specifics of the issue and how best to fix it. The web services exposed by Hacme Bank are used by our other testing applications including Hacme Books and Hacme Travel.