当我13岁的时候，我的学校为学生开设了一个社交网络。不幸的是，我发现了一个安全漏洞，可以将URI更改为另一个用户id，如“?”userID=123”，并为该用户登录。显然，我告诉了我的朋友们，最后学校的社交网络充满了色情。

不过我不推荐。

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

我曾经黑过Novel Login (DOS提示)。我写了一个C程序来模拟登录提示符，并将登录/密码写入文件，并输出无效的密码。

我在大学时代过得很开心。

我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说，网站没过多久就倒闭了。没有在线备份，所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

我曾经在一个名为ROL的本地互联网门户网站上发现了一个漏洞。RO(罗马尼亚在线-当时由PCNET拥有)。他们有一个免费的网络邮件系统。我想要一个特定的用户名(很容易猜到是哪个)，但它已经被占用了。

出于好奇，我进入了“忘记密码”页面，输入了我想要的(但已被占用的)用户名。然后，在提交时，我看到了一个空白的安全问题。

哇……让我们看看他们是不是很差劲。我确保答案文本框为空，然后提交

“恭喜你，输入你的新密码”。

我输入了密码，劫持了账户。

可能发生在他们的…PHP脚本是他们比较从数据库(在答案-当然他们保持在明文)的空字符串提交我。让它们“相等”引导我进入下一步，重置密码。

是的,站不住脚的。

最不可原谅的安全漏洞，不幸的是，一个非常常见和容易找到的漏洞，是谷歌黑客。举个例子:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

令人惊讶的是，互联网上有多少页面，特别是政府网站，通过查询字符串传递SQL查询。这是最糟糕的SQL注入形式，查找易受攻击的站点毫不费力。

经过一些小的调整，我已经能够找到未受保护的phpMyAdmin安装，未受保护的MySQL安装，查询包含用户名和密码的字符串，等等。