login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

我见过很多客户项目，这些项目都包含IP地址、用户名和SQL server数据库的密码。

当关键IT员工离开公司时，不更改管理密码。

我投票给Ken Thompson的UNIX“后门”。

这里有一个链接，有人可以从中了解更多信息: 汤普森木马编译器

我之所以认为这是最糟糕的，是因为在那个时候，法官们认为，在这种事情上取得进展的最好方法是公开讨论。

这一切只是教会了一群脚本小子一个新的非常强大的技巧。

当我13岁的时候，我的学校为学生开设了一个社交网络。不幸的是，我发现了一个安全漏洞，可以将URI更改为另一个用户id，如“?”userID=123”，并为该用户登录。显然，我告诉了我的朋友们，最后学校的社交网络充满了色情。

不过我不推荐。

在一所不知名的大学，他们所有的动作查询都是通过URL传递的，而不是通过表单发布的。

这个东西一直在工作，直到谷歌Bot出现，运行了他们所有的url并删除了他们的数据库。