在登录时，有一个隐藏的字段，让“网站管理员”选择成功和失败时要包含的文件。

是的，/etc/password工作了。

或者在“log”目录中，有order-xxx。order-xxx.txt包含卡号，包括检查号和验证日期。

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了，一个操作员就有这么大的不同。

两个系统之间的“统一登录”——这暴露了密码为免费文本.........在url中!!

这是一个“离岸”的政府项目。幸运的是，它很早就被注意到了。可怕的是开发人员并没有看到这么多的问题-真的让你怀疑。

按下Windows 98登录屏幕上的取消按钮，你就可以进入系统了。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

你知道你一直读到一家大公司如何让他们的客户的个人身份被盗吗?(事实上，据我所知，这种情况在我身上发生过两次——一次是在我的健康保险公司，一次是在我的人寿保险公司)这通常是由于窃取了数据库备份磁带，这些磁带是未加密的，读取了存储在其中的未加密的个人信息。