About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.

http://apache.org/.svn/entries

我将分享一个我创造的。种。

多年、多年、多年以前，我工作的公司需要在他们的ASP网站上建立索引。所以我去设置索引服务器，排除了一些管理目录，一切都很好。

然而，我不知道有人给了一个销售人员ftp访问网络服务器，这样他就可以在家工作，这是拨号的日子，这是他交换文件的最简单的方式....他开始上传东西，包括详细说明我们服务....标记的文档当人们搜索“成本”时，索引服务器就会索引并开始提供服务。

记住，孩子们，白名单不是黑名单。

我的任务是发现一个用于报告的ODBC DSN，其中密码与用户匹配，并且用户属于数据库服务器管理组。

因此，任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权，而且身份验证非常弱。

我在一家公立医院工作，这个软件几乎安装在该州每家政府医院的每一台电脑上，数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。

最糟糕的是，我们悄无声息地报告了安全漏洞，然后正式报告，但在我继续在那里工作的2年里，它仍然没有修复，那已经是5年前的事了。

在文本框中输入1=1将列出系统中的所有用户。

一位同学曾经不小心把密码发到了推特上……那是个很严重的安全漏洞。