我有Joe X以前的家庭地址，需要知道他在同一城市的新地址，但没有办法联系到他。我估计他每天都会收到一堆邮购目录，所以我随意拨打了See’s Candies的800电话(与维多利亚的秘密、瑞士殖民地或任何其他大型邮寄公司不同):

我:“嗨，我是Joe x。我想我已经在你的邮件列表中出现过两次了，我的旧地址和新地址都有。你的电脑显示我的地址是[旧地址]还是[假地址]?”

接线员:“不，我们给你看[新地址]。”

在一些Unix机器(当然是所有的SunOS)上，您可以将setuid shell脚本链接到一个名为“-i”的文件。 shell脚本将文件名解释为它的第一个参数，并运行"sh -i" =一个交互式shell，并获得setuid文件所有者的许可。

因为大多数setuid shell脚本都是以根用户身份运行的，以便允许您执行一些需要根用户权限的操作，比如弹出CD或加载磁带。这意味着在20世纪90年代，在大多数大学的Unix机器上获得管理是很简单的。

我们有一个旧的计算机集群，在我工作的一个实验室里没有运行。几个本科生认为，让它运行起来会很有趣，这样他们就可以学习一点并行计算了。他们让它运行起来，结果证明它非常有用。

One day I came in and was checking out the stats...It was running at 100%. Now this was a 24 node cluster and there were only 3 of us that ever used it so it was a little strange that it was running at this load. I started playing with it, trying to figure out what was loading it...turned out someone had gained access and was using it as their own little porn server and spammer. I asked the undergrads what kind of security they put on it, they looked at me and said "Security? We didn't think it would need any."

我给它加了个密码，就这样。把它用作色情服务器的人原来是一个本科生的朋友。

我记得申请大学的通用应用程序网站有这个“安全”功能，它宣布将在一定时间后注销你。但是，他们使用了一个警告框，如果你没有真正回应，就会暂停倒计时，使你的会话无限期。

About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.

这里有一个我不常看到的例子。这是一个非常有效的安全漏洞，困扰着大多数登录表单。我大约在十年前发现了它。

我在多伦多大学学习，那里有一个叫做ROSI的系统，允许学生管理他们的费用和课程注册。他们还在总会议区设置了两个公共终端，只能显示ROSI网站，学生可以输入他们的学生证和密码登录和管理他们的物品。

但是，在用户注销后，您可以在终端上按浏览器的alt-left键返回登录表单，然后按alt-right键前进一键，然后单击刷新。在这一点上，浏览器会要求你确认重新发布表单数据，如果你点击是，它会重新发布以前的用户登录/通过和登录你。

大多数登录表单仍然容易受到这类攻击。解决方案是post/redirect/get或使用nonce键。

我给我的大学管理员发了很多次邮件，但我认为他们至少在我毕业离开之前都没有解决这个问题。这大约是在2002年。