有一个云渲染库的许可证是2500美元，在注册之前有有限的工作时间(比如一分钟)。评估演示可以无限地运行。在exe内容中搜索单词“demo”会显示“[产品名称]demo”和附近的十六进制符号字符串。是的，那是登录名和密码。

“网络编程安全101”风格的最大错误是招聘机构的搜索页面提供了“下一页”链接，这只是获取更多工作列表的SQL语句。您可以轻松地将此URL更改为任何其他SQL语句，包括“drop table X”。如果你这么做了，他们的整个网站都会完蛋。

我的任务是发现一个用于报告的ODBC DSN，其中密码与用户匹配，并且用户属于数据库服务器管理组。

因此，任何具有此ODBC DSN的PC都可以使用任何ODBC兼容工具通过报表用户读取/更改所有数据(甚至更糟)。不需要授权，而且身份验证非常弱。

我在一家公立医院工作，这个软件几乎安装在该州每家政府医院的每一台电脑上，数据库服务器包含各种敏感的医疗数据(完整的患者详细信息、实验室测试结果等)。

最糟糕的是，我们悄无声息地报告了安全漏洞，然后正式报告，但在我继续在那里工作的2年里，它仍然没有修复，那已经是5年前的事了。

严格地说，这不是一个安全漏洞，更多的是一个“功能”，许多新手服务器管理员当时并不知道/关心。

在1999-2001年间，我玩Frontpage玩得很开心，解锁了安装在公共网站上的Frontpage服务器扩展。

当你安装了Frontpage后，你会在ie浏览器中看到这个很好用的“编辑Frontpage”按钮。

当访问一个网站，例如www.foo.com，如果你点击“编辑在Frontpage”按钮在Internet Explorer和服务器管理员没有正确地完成他们的工作，然后Frontpage愉快地打开虚拟目录的完整目录结构，并允许你阅读/编辑内容。

从一个人的乐队到更大的公共组织，这种方法在许多网站上都有效。

当我发现一个开放的服务器时，我总是给“网站管理员”发一封电子邮件，有一次我从一家在线零售商那里得到了一张50英镑的礼券，因为我提醒了他们这一点。

真是令人震惊。

免责声明-我需要指出的是，Frontpage是在标准构建PC上，我是在那些天，不是我自己的选择!

在一个论坛中，我已经获得了对隐藏线程和管理界面的只读访问权限，只需将cookie中的用户名替换为管理员的用户名，而不更改密码。

不是最坏的，但也足以造成一些真正的损害。你会惊讶于这一点被忽视的频率有多高。特别是当人们使用这些流行的框架时，

yourwebapp.com/items/edit.php?id=4
yourwebapp.com/items/delete.php?id=4

不确定项的所有者是请求页面的人。 也就是说，你可以登录你的账户，然后在整个应用程序中编辑或删除任何人的项目。

一个简单的检查可以防止很多损坏。

$item = // find your item by the $_GET[ 'id' ];

if( $_SESSION[ 'user_id' ] != $item[ 'user_id' ] ){
  // kick em out they dont belong...
}