我曾经有幸尝试保护一个网站(ASP Classic)，该网站“需要”密码才能访问管理界面。当然，如果你只是去其中一个管理页面的地址，你可以做任何你想做的，登录与否。

他们想知道自己是怎么被黑的。

在我以前的学校，他们把用户密码以明文形式存储在cookie中。

这本身就很可怕，但更糟糕的是，他们把它们储存在饼干里供*.大学。当然，现在所有学生和员工的页面都在university.edu.au/~user这样的网站上。

<?php

var_dump($_COOKIE); // oops.

Right at the start of the .com era, I was working for a large retailer overseas. We watched with great interest as our competitors launched an online store months before us. Of course, we went to try it out... and quickly realized that our shopping carts were getting mixed up. After playing with the query string a bit, we realized we could hijack each other's sessions. With good timing, you could change the delivery address but leave the payment method alone... all that after having filled the cart with your favorite items.

当我使用Colloquy (IRC)时，密码字段会弹出，但我仍然在主屏幕上集中，所以当我按下enter键时，全世界都知道我的密码，而我却没有意识到。

微软鲍勃 (来源:Dan's 20th Century Abandonware)

如果您第三次输入密码错误，系统将询问您是否忘记密码。

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

但是，你可以输入任何新密码，它会替换原来的密码，而不是像继续提示输入正确的密码，直到输入正确的密码，或者在多次尝试错误后锁定你!任何人都可以用任何密码“保护”的Microsoft Bob帐户这样做。

不需要事先进行身份验证。 他的意思是，用户1只需要三次输入密码错误，然后第四次输入新密码就可以更改自己的密码，而不必使用“更改密码”。

这也意味着User1可以修改User2, User3…以完全相同的方式。任何用户都可以更改其他用户的密码，只要输入三次错误密码，然后在出现提示时输入新密码，然后他们就可以访问该帐户。

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

我将分享一个我创造的。种。

多年、多年、多年以前，我工作的公司需要在他们的ASP网站上建立索引。所以我去设置索引服务器，排除了一些管理目录，一切都很好。

然而，我不知道有人给了一个销售人员ftp访问网络服务器，这样他就可以在家工作，这是拨号的日子，这是他交换文件的最简单的方式....他开始上传东西，包括详细说明我们服务....标记的文档当人们搜索“成本”时，索引服务器就会索引并开始提供服务。

记住，孩子们，白名单不是黑名单。