人们把密码贴在公共网站上……

我想说，最糟糕的安全漏洞是不了解/理解您的环境和第三方工具，如果您将它们包含在您的程序中。

一个真实的例子:

在我上的两所不同的学校，他们使用的是基于Windows的第三方软件管理的网络。一个这样的工具监控磁盘空间，如果你超过，它会提醒你，要求你删除文件或将它们复制到软盘。

但是…他们有一个帮助，使用标准的Windows帮助查看器!!

要绕过注销检查，您只需要按下电源按钮-关闭而不是注销只是关闭应用程序!

至于登录，你所需要做的就是打开帮助，点击文件>打开，在文件名称中，然后，有许多不同的事情……

你可以输入C:\Windows，一旦加载，输入*。*，然后你可以右键单击Explorer.exe，然后选择打开，然后将盒子拖出/底部角落…当你关闭电脑时，没有问题!

您可以打开任务管理器并关闭应用程序。

你可以打开一个excel文档(或任何Office程序)，启动一个宏，然后做你想做的事情!

所以…我想说，这家公司很愚蠢，因为他们在其他程序中也有各种各样的问题，但是，这是最大的问题，他们能够绕过它，只是因为他们使用了Windows帮助，而没有意识到它的含义。

去年，我发现我所在的公司用来处理支票/报表的网站充满了SQL注入漏洞。

不用说，他们很快就把洞补好了。

最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容，而不是将其清空。这样，当你在公共计算机上注册表单时，就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。

我相信很少有低安全性的网站，用户的密码和登录信息可以很容易地被管理员访问。

我希望你能发现这里的问题。(事实上，大错特错):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

最后一个接受者是最幸福的;)

在一所不知名的大学，他们所有的动作查询都是通过URL传递的，而不是通过表单发布的。

这个东西一直在工作，直到谷歌Bot出现，运行了他们所有的url并删除了他们的数据库。