几年前我移植的一款遗留应用使用了第三方回调系统来处理支付。问题是，回调脚本没有检查支付的金额是否等于订单的价格，因此可以使用Firebug编辑支付页面上“金额”字段的内容，以0.01英镑的价格购买网站上的任何产品。

几年前我移植的一款遗留应用使用了第三方回调系统来处理支付。问题是，回调脚本没有检查支付的金额是否等于订单的价格，因此可以使用Firebug编辑支付页面上“金额”字段的内容，以0.01英镑的价格购买网站上的任何产品。

想到这一点，我所见过的最糟糕的安全漏洞是当管理电子门锁的人说“你是什么意思，锁不知道公共假日”?

是的，每个周一到周五都是公共假日，因为门系统已经安装好了，我看到前门在08:00-17:30没有锁。

我曾经有幸尝试保护一个网站(ASP Classic)，该网站“需要”密码才能访问管理界面。当然，如果你只是去其中一个管理页面的地址，你可以做任何你想做的，登录与否。

他们想知道自己是怎么被黑的。

XSS是我喜欢在网站上找到的东西。

下面是我的发现日志的链接:

所有:http://xssed.com/archive/author=Dr.Optix

只有特色菜:http://xssed.com/archive/special=1/author=Dr.Optix/

祝你浏览愉快!

我通过更改ServerFault beta访问cookie的域进入http://dev.superuser.com/。(他们现在已经修好了)