我曾在一家销售点公司工作。他们的软件 很多披萨店都用过。

由客户决定是否更改默认密码。 默认信息在用户手册和手册中打印 这样的。：）

几个在披萨店工作的孩子 我猜他们没有更改根密码(Unix/Linux 基于系统)。然后他们去买他和他的 朋友免费送披萨到他家近一个月 在披萨店注意到之前一年。这让我发笑 每次我想到那份工作。：）

有一次我有……创造性的差异……在我帮助建立的一个社区网站上，另一个编码器添加了一个新的PHP文件，该文件列出了审批队列中的文件，该文件还具有删除每个文件的链接。

不幸的是，这个脚本使用了整个通过模糊实现安全的概念。

不知何故，一个网络爬虫发现了这个页面，并跟踪了所有的删除链接。

不用说，修改元数据或删除文件的脚本现在需要登录。

附注:我与此无关，甚至不知道这个脚本的存在，直到当时的一位工作人员告诉我发生了什么。实际上，我现在又在为这个网站工作了，部分原因是为了确保这样的事情不会再发生。

曾经看到一扇门有人忘记锁门……

或者，看到一些JavaScript通过Ajax调用执行一些SQL。唯一的问题是，要运行的SQL与页面一起呈现，然后传递给服务…

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

一家销售电脑的公司用FrontPage建立了一个网站，每个人都可以完全访问。

作为一个以应用程序安全顾问为生的人，有很多常见的问题让你通过一些东西来管理网站。但真正酷的是你可以买到价值一百万美元的袜子。

这是我的一个朋友的工作，但它的真实情况是，某个现在非常流行的在线图书(和其他所有东西)商店的商品价格被存储在HTML本身作为一个隐藏字段。在早期，这个漏洞困扰了许多在线商店，他们刚刚开始了解网络。几乎没有安全意识，谁会下载HTML，编辑隐藏字段，然后重新提交订单呢?

当然，我们把价格改为0，并订购了100万双袜子。你也可以改变价格为负，但这样做使他们的后端计费软件缓冲区溢出结束交易的一部分。

如果我可以选择另一个，那就是web应用程序中的路径规范化问题。能够执行foo.com?file=../../../ etc/passwd真是太棒了