在一个论坛中，我已经获得了对隐藏线程和管理界面的只读访问权限，只需将cookie中的用户名替换为管理员的用户名，而不更改密码。

我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说，网站没过多久就倒闭了。没有在线备份，所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

事实上，只要使用文件/进程十六进制编辑器，就可以在大多数未加密的应用程序或文件上绕过安全性或预期功能。当然，在大多数游戏(在线或离线)中给自己无限的金币或上帝模式是很棒的，但它也很棒，只是抓取或编辑你想要的值，包括密码。事实上，有时候你只需要记事本。幸运的是，记事本不在DMCA联邦控制的计算机应用程序名单上…然而。

编辑:我指的是利用“皇帝的新衣”场景，用最简单的工具识别安全缺陷。这种场景在任何语言或平台的编程或消费者社区中都很常见，甚至可以成为通用标准。

当我使用Colloquy (IRC)时，密码字段会弹出，但我仍然在主屏幕上集中，所以当我按下enter键时，全世界都知道我的密码，而我却没有意识到。

曾经在一个网站的URL上注意到这一点。

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

将最后一个参数更改为admin=1给了我admin权限。如果你要盲目相信用户输入，至少不要让人知道你在这么做!

微软鲍勃 (来源:Dan's 20th Century Abandonware)

如果您第三次输入密码错误，系统将询问您是否忘记密码。

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

但是，你可以输入任何新密码，它会替换原来的密码，而不是像继续提示输入正确的密码，直到输入正确的密码，或者在多次尝试错误后锁定你!任何人都可以用任何密码“保护”的Microsoft Bob帐户这样做。

不需要事先进行身份验证。 他的意思是，用户1只需要三次输入密码错误，然后第四次输入新密码就可以更改自己的密码，而不必使用“更改密码”。

这也意味着User1可以修改User2, User3…以完全相同的方式。任何用户都可以更改其他用户的密码，只要输入三次错误密码，然后在出现提示时输入新密码，然后他们就可以访问该帐户。

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif