我在浏览一个购物网站，当我输入我的电子邮件地址时，我注意到地址输入页面的URL只有“?nOrderID=301”。

下车。我把数字改成99，你猜怎么着?我得到了一位住在本德的女士的名字，地址和电话号码。

几周前我确实给网站管理员发过邮件，他听起来不太高兴，但这个问题仍然没有解决……

有一段时间，该公司的整个员工信息列表(从地址到社会安全号到工资的所有信息)都存储在密码保护的Access数据库中。

使用您最喜欢的搜索引擎，查找如何恢复访问数据库的密码。是的。

拖拽到这里，你就会得到密码。字典中五个字母组成的单词。

有一家银行通过其网站提供一些服务。开发人员考虑了任何作为整个系统的有效用户登录的人，他们使用URL来识别账号，因此只需更改URL上的ID，就可以查看其他账户的余额。

对于认为身份验证和授权是一回事的web开发人员来说，这是非常糟糕的。

此外，银行不通过其网站转账也很好，否则有些人会很富有;-)

我的一家公用事业公司在他们的信用卡表单中没有使用自动完成="off"。

当然，他们不会存储你的信用卡信息(一件好事)，但想象一下当我支付第二个月的账单时，我有多害怕，我的浏览器竟然为我填写整个信用卡号码……

我的任务是发现一个用于报告的ODBC DSN，其中密码与用户匹配，并且用户属于数据库服务器管理组。

因此，任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权，而且身份验证非常弱。

我在一家公立医院工作，这个软件几乎安装在该州每家政府医院的每一台电脑上，数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。

最糟糕的是，我们悄无声息地报告了安全漏洞，然后正式报告，但在我继续在那里工作的2年里，它仍然没有修复，那已经是5年前的事了。

一位同学曾经不小心把密码发到了推特上……那是个很严重的安全漏洞。

这是很久以前的事了……但DEC的VAX系统过去是随账户一起发货的:

系统登录: 密码:经理

而且 登录:字段 服务密码:

大多数系统管理员都知道SYSTEM帐户，并且大多数(但不是全部)会更改它。然而，并不是所有人都知道FIELD帐户也有SYSTEM特权。