我想这是我亲眼见过的最糟糕的一次。在很久以前(20世纪80年代末)，我用COBOL编程了一台IBM 370，后来换成了4341。在一个缓慢的日子里，我在查看文档时发现了一个命令，可以让你搜索磁盘上的所有内容。

所以我搜索我的密码。然后找到了。发现附近所有人的密码。

如果我没记错的话，密码限制在6个字符以内，而且不区分大小写。我不记得当时自己的密码了，但我永远不会忘记系统管理员的密码;这完全符合他的性格。休息日。

一个让我害怕的安全漏洞是在我曾经维护的一个遗留应用程序中，其中有一个settings.ini文件，其中的数据库凭据是纯文本的，所有用户密码都以纯文本的形式存储在数据库中。

我见过的大多数安全漏洞都发生在我的高中和大学。

首先，我发现我可以通过(非常简单的)ping flood攻击来关闭学校的互联网。不仅仅是我高中的互联网，整个学校系统，包括大学的一部分。绝对没有速率限制。在我演示之后，他们最终把它修好了。(顺便说一句，我的第一份编程工作就是靠这种“宣传”获得的)

第二点，也是可能性更大的一点是:

Ok, so every computer in the school was connected to a domain and such. So, when you logged onto a computer, it would copy down a generic user directory(including application data, etc folders) and then proceed with the login. Some people had their own logins other than the generic "student" account for one reason or another. Well, while I was browsing the public server where everything was shared on, I found a /users directory. Upon looking at it I discovered froma generic student account I had read-write to every users directory, including teachers, administrator, and the generic student account.

为了愚人节，我计划写一个简单的批处理文件或小程序，弹出一些类似Class of 09 rocks的东西!登陆每个人只是为了演示它，但我退缩了。我也从来没有告诉过管理员，所以这个安全漏洞可能仍然存在。

谁能忘记Windows 98的经典安全漏洞呢?

复制密码文本*********并将其粘贴到文字处理器中，就会显示几乎任何东西的密码。

我以前的学校有学生的密码和他们的用户名一样，加上很容易得到他们的用户名(一个数字，例如123233)，然后你可以点击添加列，找到学生的名字和姓氏，以及他们的用户名。因此，很容易在他们的账户中随机放入垃圾，让他们认为“机器里有鬼”。

我记得申请大学的通用应用程序网站有这个“安全”功能，它宣布将在一定时间后注销你。但是，他们使用了一个警告框，如果你没有真正回应，就会暂停倒计时，使你的会话无限期。

简单地说

exec unchecked_parameter_from_the_web

在Python中解析用户给出的字典字面量。那真的很可怕。