不是最糟糕的，但很好笑的一个是Android操作系统重启的bug。当用户使用G1手机时，他们可以在手机的任何地方输入“重启”(比如:短信或电子邮件)，手机就会重新启动。

整个经典ASP购物车“Comersus”。整个事情是意大利面条代码的混乱，所有的SQL语句都是成熟的SQL注入，因为没有做任何过滤。可悲的是，我不幸地处理了近两年的“申请”，这绝对是一场噩梦!

这不是安全漏洞，而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码，一旦你登录，你当然不会在第一屏幕上阅读废话，你只是跑去找你要找的东西(文档或软件)，然后注销。

但这里有个技巧，下次你尝试登录时，你的密码不再有效，因为你应该有新密码，他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后，他们给我发了大约30个列举的一次密码列表，我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表，贴在我桌子前的墙上，每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

其中一个最简单，但真正值得付出代价的是:

使用PayPal等引擎的支付系统可能存在缺陷，因为在支付成功后，PayPal的响应没有得到应有的检查。

例如:

我可以进入一些CD购买网站，向购物车中添加一些内容，然后在结帐阶段，页面上通常会出现一个表单，其中包含paypal的字段，以及“支付”的提交按钮。

使用DOM编辑器，我可以进入“live”表单，将值从£899.00更改为£0.01，然后单击提交…

当我在PayPal的时候，我可以看到金额是1美分，所以我支付了，PayPal将一些参数重定向到初始购买网站，该网站只验证诸如payment_status=1等参数，而不验证支付的金额。

如果没有足够的日志记录，或者产品是自动分派的，那么成本就会很高。

最糟糕的一类网站是提供应用程序、软件、音乐等的网站。

不是最糟糕的，但很好笑的一个是Android操作系统重启的bug。当用户使用G1手机时，他们可以在手机的任何地方输入“重启”(比如:短信或电子邮件)，手机就会重新启动。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…