这不是安全漏洞，而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码，一旦你登录，你当然不会在第一屏幕上阅读废话，你只是跑去找你要找的东西(文档或软件)，然后注销。

但这里有个技巧，下次你尝试登录时，你的密码不再有效，因为你应该有新密码，他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后，他们给我发了大约30个列举的一次密码列表，我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表，贴在我桌子前的墙上，每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

不过这还不是我见过的最严重的安全漏洞。但这至少是我自己发现的最糟糕的情况:

一个非常成功的在线有声读物商店在成功认证后使用cookie存储当前用户的身份信息。但你可以很容易地在cookie中更改用户ID，并访问其他账户并在这些账户上购物。

整个经典ASP购物车“Comersus”。整个事情是意大利面条代码的混乱，所有的SQL语句都是成熟的SQL注入，因为没有做任何过滤。可悲的是，我不幸地处理了近两年的“申请”，这绝对是一场噩梦!

我个人发现的最糟糕的情况是，在一所大学，所有系统(包括教授办公室)都使用运行X的机器。一台服务器托管了所有这些X会话……

有趣的是，您可以启动一个新的X应用程序(时钟是最受欢迎的，但任何X应用程序都可以工作)，并选择显示它的终端。有了一个快速的脚本，你就可以在校园里每个实验室/办公室的每台电脑上启动它……

当然，真正暴露这个安全漏洞的应用程序是一个虚假的shell登录，其中的输入被记录到一个文件中。

它运行了一周，获得了数百名学生和教授的用户名和密码，并产生了一对非常不高兴的管理员。

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录，但如果你点击了一个特定网站的链接，你就会自动以默认用户登录。

http://www.metasploit.com/users/hdm/tools/debian-openssl/