测试一些银行柜员软件后，我打电话给技术部安排了一次拨号IP会话。“您想连接到哪个系统，生产系统还是测试系统?”

真实的故事。

作为对所有读者的提醒，无论是否知情:我刚刚从一个专业那里买了一本800页的2008年版权的关于这个主题的书——在序言中，作者做了一个“嘿，等一下……”，在序言中详细指出，不止一个拥有丰富证书和现场经验的安全专业人士，嗯哼，被赋予了意义，……因为他们看到了一些看起来相对新手的入侵。

如果把它当作看似无害的，那么由于未经授权的活动，就会引发正式诉讼。作为一个专业人士，他们中的一些人被毁了。

我注意到的最后一次入侵涉及一家主要的银行服务，该服务已经存在了很长时间，以至于市民很少听到他们的品牌名称。整个商店的所有数据都是未加密的——但是，对于不知情的人来说，奇怪的是，这家银行实体已经成为了一个“清算所”(我不知道统计数据，但它超过了一半)，为不止一个零售品牌的信贷提供商处理信用卡交易。

入侵者只是在空投处放置了一个(装置)。(这是电信公司从世界各地进入的线路)没有花哨或复杂的交通监控工具，只有基本的。我建议每个人都监控今年2月以来的所有信用活动:所获得的是与当前活跃和有效信用账户上的有效名称相匹配的有效cc#。

空前的。

像往常一样，它是一个没有安全专业知识的人从管理权威的位置上运行一个商店。工程术语是“失效模式分析”……

我之前至少有一个同事可能符合这个条件。

有关安全漏洞(和其他计算机风险)的主列表，请访问http://catless.ncl.ac.uk/Risks

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了，一个操作员就有这么大的不同。

不过这还不是我见过的最严重的安全漏洞。但这至少是我自己发现的最糟糕的情况:

一个非常成功的在线有声读物商店在成功认证后使用cookie存储当前用户的身份信息。但你可以很容易地在cookie中更改用户ID，并访问其他账户并在这些账户上购物。