几年前，一所学校托管了一个学习平台网站，可以上传。php文件到网站上，然后再执行，所以他们给了你整个网站的完全访问权限。还没有被其他学生发现，我认为这个错误仍然存在。

我所见过的最糟糕的安全漏洞是，人们在firefox账户上不使用主密码，即使他们让它保存了所有的密码。这意味着任何能拿到你账户文件的人都能窃取你所有的密码。使用主密码。

有一家银行通过其网站提供一些服务。开发人员考虑了任何作为整个系统的有效用户登录的人，他们使用URL来识别账号，因此只需更改URL上的ID，就可以查看其他账户的余额。

对于认为身份验证和授权是一回事的web开发人员来说，这是非常糟糕的。

此外，银行不通过其网站转账也很好，否则有些人会很富有;-)

在我以前工作的店里有个不错的。通往非公共区域的门有小键盘，所以你必须输入pin码才能进入。然而，你只需按#，门就会打开，这是我们喜欢的事实，因为按#比按6位pin码容易得多。

不过这还不是我见过的最严重的安全漏洞。但这至少是我自己发现的最糟糕的情况:

一个非常成功的在线有声读物商店在成功认证后使用cookie存储当前用户的身份信息。但你可以很容易地在cookie中更改用户ID，并访问其他账户并在这些账户上购物。

默认登录凭据，特别是当是admin/root和密码时。