我所见过的最糟糕的安全漏洞是，人们在firefox账户上不使用主密码，即使他们让它保存了所有的密码。这意味着任何能拿到你账户文件的人都能窃取你所有的密码。使用主密码。

去了一个汽车经销商的付费网站，会员费很高。只要用“test”作为用户名，用“Test1”作为密码。我进去了。

社会工程:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

从bash.org

有关安全漏洞(和其他计算机风险)的主列表，请访问http://catless.ncl.ac.uk/Risks

去年，我发现我所在的公司用来处理支票/报表的网站充满了SQL注入漏洞。

不用说，他们很快就把洞补好了。

作为对所有读者的提醒，无论是否知情:我刚刚从一个专业那里买了一本800页的2008年版权的关于这个主题的书——在序言中，作者做了一个“嘿，等一下……”，在序言中详细指出，不止一个拥有丰富证书和现场经验的安全专业人士，嗯哼，被赋予了意义，……因为他们看到了一些看起来相对新手的入侵。

如果把它当作看似无害的，那么由于未经授权的活动，就会引发正式诉讼。作为一个专业人士，他们中的一些人被毁了。

我注意到的最后一次入侵涉及一家主要的银行服务，该服务已经存在了很长时间，以至于市民很少听到他们的品牌名称。整个商店的所有数据都是未加密的——但是，对于不知情的人来说，奇怪的是，这家银行实体已经成为了一个“清算所”(我不知道统计数据，但它超过了一半)，为不止一个零售品牌的信贷提供商处理信用卡交易。

入侵者只是在空投处放置了一个(装置)。(这是电信公司从世界各地进入的线路)没有花哨或复杂的交通监控工具，只有基本的。我建议每个人都监控今年2月以来的所有信用活动:所获得的是与当前活跃和有效信用账户上的有效名称相匹配的有效cc#。

空前的。

像往常一样，它是一个没有安全专业知识的人从管理权威的位置上运行一个商店。工程术语是“失效模式分析”……