我曾经忘记删除“管理员登录页面”。该页面只是绕过LDAP登录并获得所有权限。它可以对客户的银行账户做任何事情。我非常非常担心。幸运的是，没有人知道URL。

不是最糟糕的，但很好笑的一个是Android操作系统重启的bug。当用户使用G1手机时，他们可以在手机的任何地方输入“重启”(比如:短信或电子邮件)，手机就会重新启动。

我见过缓冲区溢出，可以(理论上)通过传真输出。

有一个自动的文件路由过程，它将传真作为输入，对它们进行OCR并提取一些信息，然后在此基础上进行LDAP搜索，等等。 不知道这是不是“最糟糕的”，但肯定让我笑了。

我曾经忘记删除“管理员登录页面”。该页面只是绕过LDAP登录并获得所有权限。它可以对客户的银行账户做任何事情。我非常非常担心。幸运的是，没有人知道URL。

我曾经听说过一个在银行工作的程序员，他们以小数点后16位的精度计算他们的内部数据(包括账户余额)。

所以这个家伙改变了银行转账程序，每笔交易将0.00001美元转到他自己的账户，剩下的转到原来的目的地。我认为他们很快就抓住了他，但我不得不承认，当我第一次听说他的想法时，我觉得它很好。

我被告知，我们总机部门的哔哔系统有一个可以用来发送消息的web前端，尽管它很丑，而且不太友好，所以我想看看我们是否可以在我们的内部网主站上使用一个表单，并通过我们的服务器将值提交给他们。

使用User和Admin角色访问系统有一个简单的用户名/密码表单，因此我查看了一下如何实现处理安全性。我发现存储了以下两个cookie:

Username: [username I had used]
Admin: False

为了确保它像我想象的那样糟糕，我打开Firefox，给它url，创建2个cookie，我的用户名和管理员:真，瞧，我有管理员权限。为了验证它，我创建了一个新用户，没有任何问题。更糟糕的是，在本地使用用户名意味着日志将显示我的操作来自任何我想要给它的人。

通过不公开来实现安全是行不通的，但当你把人们需要的一切都放在银盘上时，它就不那么管用了。