我工作的公司有很多安全错误……下面是一些比较糟糕的例子:

所有的前雇员仍然拥有所有东西的活跃账户，即使是那些被解雇或关系不好的人 我们开发的每个站点(200多个)都有相同的管理员用户名和密码，所有在这里工作的员工都知道

史诗般的失败。

一个使用faces和managedbean的应用程序。用于编辑已经登录的用户的bean与自注册表单使用的bean相同，其中两个隐藏字段是唯一的区别。的意思吗?如果你得到了某人的证件号码(相当于美国的社会安全号)，你就可以修改他们的密码。

太可怕了，我告诉我所有的朋友取消账户!

我在一家很受欢迎的赌场网站工作。flash前端不仅仅是一个不起眼的终端。他们有一个视觉错误，不正确地管理头像图像。在我和我的朋友解决这个问题的时候，我们发现了一个完全不同的缺陷。

我们观察了从客户端到服务器的流量，发现它是base64编码的。 考虑到它会有所帮助，构建了一个简单的python终端脚本，可以利用它。我们发现客户端会向服务器发送命令和逻辑信息。

几分钟之内，我就能简单地输入我有多少筹码，谁赢了，我有什么手牌，简单地用纯文本写出来!

另一个主要缺陷-用户密码被加密，管理员密码没有使用与以前相同的漏洞，我获得了数据库信息，找到管理员登录并接管了系统。

我曾经听说过一个在银行工作的程序员，他们以小数点后16位的精度计算他们的内部数据(包括账户余额)。

所以这个家伙改变了银行转账程序，每笔交易将0.00001美元转到他自己的账户，剩下的转到原来的目的地。我认为他们很快就抓住了他，但我不得不承认，当我第一次听说他的想法时，我觉得它很好。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

在登录时，有一个隐藏的字段，让“网站管理员”选择成功和失败时要包含的文件。

是的，/etc/password工作了。

或者在“log”目录中，有order-xxx。order-xxx.txt包含卡号，包括检查号和验证日期。