在我以前工作的店里有个不错的。通往非公共区域的门有小键盘，所以你必须输入pin码才能进入。然而，你只需按#，门就会打开，这是我们喜欢的事实，因为按#比按6位pin码容易得多。

不过这还不是我见过的最严重的安全漏洞。但这至少是我自己发现的最糟糕的情况:

一个非常成功的在线有声读物商店在成功认证后使用cookie存储当前用户的身份信息。但你可以很容易地在cookie中更改用户ID，并访问其他账户并在这些账户上购物。

从早期的在线商店来看:

在购物车的数量栏输入.1即可获得9折优惠。软件正确地将总成本计算为.1 * cost，人工包装订单只是忽略了包装数量前面的奇数“.”:)

一位同学曾经不小心把密码发到了推特上……那是个很严重的安全漏洞。

我在The Daily WTF上看到过这个。

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

恕我直言，没有什么比这更好的了。

严格地说，这不是一个安全漏洞，更多的是一个“功能”，许多新手服务器管理员当时并不知道/关心。

在1999-2001年间，我玩Frontpage玩得很开心，解锁了安装在公共网站上的Frontpage服务器扩展。

当你安装了Frontpage后，你会在ie浏览器中看到这个很好用的“编辑Frontpage”按钮。

当访问一个网站，例如www.foo.com，如果你点击“编辑在Frontpage”按钮在Internet Explorer和服务器管理员没有正确地完成他们的工作，然后Frontpage愉快地打开虚拟目录的完整目录结构，并允许你阅读/编辑内容。

从一个人的乐队到更大的公共组织，这种方法在许多网站上都有效。

当我发现一个开放的服务器时，我总是给“网站管理员”发一封电子邮件，有一次我从一家在线零售商那里得到了一张50英镑的礼券，因为我提醒了他们这一点。

真是令人震惊。

免责声明-我需要指出的是，Frontpage是在标准构建PC上，我是在那些天，不是我自己的选择!