我的目标是我曾经的客户。我无法登录，所以我打了客服电话。他们只问了我的用户名，没有问任何安全问题，也没有试图验证我的身份。然后，他们没有将密码重置发送到他们存档的电子邮件地址，而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址，并重新设置了密码。

所以本质上，黑客只需要我的用户名，他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。

这不是安全漏洞，而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码，一旦你登录，你当然不会在第一屏幕上阅读废话，你只是跑去找你要找的东西(文档或软件)，然后注销。

但这里有个技巧，下次你尝试登录时，你的密码不再有效，因为你应该有新密码，他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后，他们给我发了大约30个列举的一次密码列表，我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表，贴在我桌子前的墙上，每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

我的目标是我曾经的客户。我无法登录，所以我打了客服电话。他们只问了我的用户名，没有问任何安全问题，也没有试图验证我的身份。然后，他们没有将密码重置发送到他们存档的电子邮件地址，而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址，并重新设置了密码。

所以本质上，黑客只需要我的用户名，他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。

有一次我有……创造性的差异……在我帮助建立的一个社区网站上，另一个编码器添加了一个新的PHP文件，该文件列出了审批队列中的文件，该文件还具有删除每个文件的链接。

不幸的是，这个脚本使用了整个通过模糊实现安全的概念。

不知何故，一个网络爬虫发现了这个页面，并跟踪了所有的删除链接。

不用说，修改元数据或删除文件的脚本现在需要登录。

附注:我与此无关，甚至不知道这个脚本的存在，直到当时的一位工作人员告诉我发生了什么。实际上，我现在又在为这个网站工作了，部分原因是为了确保这样的事情不会再发生。

旧的IBM System 36哑终端有一个开始录制宏的键盘组合。因此，当终端未登录时，您可以开始录制宏并将其留在该位置。下次有人登录时，击键将被记录在宏中，当记录最多允许的键时，记录将自动结束。稍后回来并重放宏以自动登录。

我希望你能发现这里的问题。(事实上，大错特错):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

最后一个接受者是最幸福的;)