我投票给Ken Thompson的UNIX“后门”。

这里有一个链接，有人可以从中了解更多信息: 汤普森木马编译器

我之所以认为这是最糟糕的，是因为在那个时候，法官们认为，在这种事情上取得进展的最好方法是公开讨论。

这一切只是教会了一群脚本小子一个新的非常强大的技巧。

public class AuthenticationServlet extends HttpServlet
{
    private String userName;
    private String password;

    protected doPost(HttpServletRequest req, HttpServletResponse resp)
           throws ServletException, IOException
    {
        userName = request.getParameter("userName");
        password = request.getParameter("password");
        authenticateUser(userName,password);
        ......
    }
}

显然，正如有人在自动化负载测试中发现的那样，单例和缺乏同步会导致安全问题。

我被告知，我们总机部门的哔哔系统有一个可以用来发送消息的web前端，尽管它很丑，而且不太友好，所以我想看看我们是否可以在我们的内部网主站上使用一个表单，并通过我们的服务器将值提交给他们。

使用User和Admin角色访问系统有一个简单的用户名/密码表单，因此我查看了一下如何实现处理安全性。我发现存储了以下两个cookie:

Username: [username I had used]
Admin: False

为了确保它像我想象的那样糟糕，我打开Firefox，给它url，创建2个cookie，我的用户名和管理员:真，瞧，我有管理员权限。为了验证它，我创建了一个新用户，没有任何问题。更糟糕的是，在本地使用用户名意味着日志将显示我的操作来自任何我想要给它的人。

通过不公开来实现安全是行不通的，但当你把人们需要的一切都放在银盘上时，它就不那么管用了。

最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容，而不是将其清空。这样，当你在公共计算机上注册表单时，就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。

我相信很少有低安全性的网站，用户的密码和登录信息可以很容易地被管理员访问。

我的任务是发现一个用于报告的ODBC DSN，其中密码与用户匹配，并且用户属于数据库服务器管理组。

因此，任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权，而且身份验证非常弱。

我在一家公立医院工作，这个软件几乎安装在该州每家政府医院的每一台电脑上，数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。

最糟糕的是，我们悄无声息地报告了安全漏洞，然后正式报告，但在我继续在那里工作的2年里，它仍然没有修复，那已经是5年前的事了。

几年前，一所学校托管了一个学习平台网站，可以上传。php文件到网站上，然后再执行，所以他们给了你整个网站的完全访问权限。还没有被其他学生发现，我认为这个错误仍然存在。