微软鲍勃 (来源:Dan's 20th Century Abandonware)

如果您第三次输入密码错误，系统将询问您是否忘记密码。

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

但是，你可以输入任何新密码，它会替换原来的密码，而不是像继续提示输入正确的密码，直到输入正确的密码，或者在多次尝试错误后锁定你!任何人都可以用任何密码“保护”的Microsoft Bob帐户这样做。

不需要事先进行身份验证。 他的意思是，用户1只需要三次输入密码错误，然后第四次输入新密码就可以更改自己的密码，而不必使用“更改密码”。

这也意味着User1可以修改User2, User3…以完全相同的方式。任何用户都可以更改其他用户的密码，只要输入三次错误密码，然后在出现提示时输入新密码，然后他们就可以访问该帐户。

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

想到这一点，我所见过的最糟糕的安全漏洞是当管理电子门锁的人说“你是什么意思，锁不知道公共假日”?

是的，每个周一到周五都是公共假日，因为门系统已经安装好了，我看到前门在08:00-17:30没有锁。

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录，但如果你点击了一个特定网站的链接，你就会自动以默认用户登录。

曾经在一个网站的URL上注意到这一点。

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

将最后一个参数更改为admin=1给了我admin权限。如果你要盲目相信用户输入，至少不要让人知道你在这么做!

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

2007年，一家相当大的机构的国防部网站出现了错误配置，导致IIS web服务器提供原始代码，主页中有硬编码的用户名/密码和数据库服务器信息。幸运的是，它很快就被抓住了，但我确实目睹了它，这非常令人震惊。不用说，他们的网站被网络工程师关闭了，直到开发人员修复了糟糕的代码。