一家销售电脑的公司用FrontPage建立了一个网站，每个人都可以完全访问。

最不可原谅的安全漏洞，不幸的是，一个非常常见和容易找到的漏洞，是谷歌黑客。举个例子:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

令人惊讶的是，互联网上有多少页面，特别是政府网站，通过查询字符串传递SQL查询。这是最糟糕的SQL注入形式，查找易受攻击的站点毫不费力。

经过一些小的调整，我已经能够找到未受保护的phpMyAdmin安装，未受保护的MySQL安装，查询包含用户名和密码的字符串，等等。

最大的安全漏洞是web开发人员在设计开放密码字段的注册表单时。密码字段显示您键入的内容，而不是将其清空。这样，当你在公共计算机上注册表单时，就可以看到你在密码字段中输入了什么。许多网站确实有这样的注册表单。

我相信很少有低安全性的网站，用户的密码和登录信息可以很容易地被管理员访问。

严格地说，这不是一个安全漏洞，更多的是一个“功能”，许多新手服务器管理员当时并不知道/关心。

在1999-2001年间，我玩Frontpage玩得很开心，解锁了安装在公共网站上的Frontpage服务器扩展。

当你安装了Frontpage后，你会在ie浏览器中看到这个很好用的“编辑Frontpage”按钮。

当访问一个网站，例如www.foo.com，如果你点击“编辑在Frontpage”按钮在Internet Explorer和服务器管理员没有正确地完成他们的工作，然后Frontpage愉快地打开虚拟目录的完整目录结构，并允许你阅读/编辑内容。

从一个人的乐队到更大的公共组织，这种方法在许多网站上都有效。

当我发现一个开放的服务器时，我总是给“网站管理员”发一封电子邮件，有一次我从一家在线零售商那里得到了一张50英镑的礼券，因为我提醒了他们这一点。

真是令人震惊。

免责声明-我需要指出的是，Frontpage是在标准构建PC上，我是在那些天，不是我自己的选择!

一个让我害怕的安全漏洞是在我曾经维护的一个遗留应用程序中，其中有一个settings.ini文件，其中的数据库凭据是纯文本的，所有用户密码都以纯文本的形式存储在数据库中。

我见过的大多数安全漏洞都发生在我的高中和大学。

首先，我发现我可以通过(非常简单的)ping flood攻击来关闭学校的互联网。不仅仅是我高中的互联网，整个学校系统，包括大学的一部分。绝对没有速率限制。在我演示之后，他们最终把它修好了。(顺便说一句，我的第一份编程工作就是靠这种“宣传”获得的)

第二点，也是可能性更大的一点是:

Ok, so every computer in the school was connected to a domain and such. So, when you logged onto a computer, it would copy down a generic user directory(including application data, etc folders) and then proceed with the login. Some people had their own logins other than the generic "student" account for one reason or another. Well, while I was browsing the public server where everything was shared on, I found a /users directory. Upon looking at it I discovered froma generic student account I had read-write to every users directory, including teachers, administrator, and the generic student account.

为了愚人节，我计划写一个简单的批处理文件或小程序，弹出一些类似Class of 09 rocks的东西!登陆每个人只是为了演示它，但我退缩了。我也从来没有告诉过管理员，所以这个安全漏洞可能仍然存在。

我曾经黑过Novel Login (DOS提示)。我写了一个C程序来模拟登录提示符，并将登录/密码写入文件，并输出无效的密码。

我在大学时代过得很开心。