我个人发现的最糟糕的情况是，在一所大学，所有系统(包括教授办公室)都使用运行X的机器。一台服务器托管了所有这些X会话……

有趣的是，您可以启动一个新的X应用程序(时钟是最受欢迎的，但任何X应用程序都可以工作)，并选择显示它的终端。有了一个快速的脚本，你就可以在校园里每个实验室/办公室的每台电脑上启动它……

当然，真正暴露这个安全漏洞的应用程序是一个虚假的shell登录，其中的输入被记录到一个文件中。

它运行了一周，获得了数百名学生和教授的用户名和密码，并产生了一对非常不高兴的管理员。

我不想承认这一点。但是有一天，当我没有存储库的管理密码时，我发现了如何破解VSS 2005(讨厌的部分是不得不使用VSS:D)

如果您创建了一个具有管理权限的本地计算机帐户，该帐户与VSS帐户具有相同的名称，并登录，VSS会提示:

 "Hey great .. you are logged on to the computer with an account name that 
  I recognize as being the same as one of my accounts,
  and your account has admin privileges on the computer .. 
  so I am going to bypass *my* security and give you admin 
  privileges to all of VSS!!!!"

那次黑客攻击是我在谷歌上看到的第一个链接，当时我试图破解VSS密码

当然，它不会提供您所缺少的VSS密码

About 3 years ago I built a site for a somewhat large non-profit organization in our state. When it came time to deploy the application to their web host server, I noticed an odd file named "cc.txt" or something obvious like that in their public site. It was under their web root, was getting served, and was a csv file of all their donor's names, addresses, credit card numbers, expiration dates, and CVV/CVC codes. I cannot count the number of times I brought the issue up - first to my boss, then our company accountant, the client's IT director, finally the client's President. That was 3 years ago. The file is still being served, it can even be googled. And it's been updated. I tend not to respond to their donation solicitations when I get them.

我听说，当你以电子方式提交申报表时，Turbo Tax曾经以纯文本文件发送你的SSN。这似乎不是个好主意。

我还知道一家公司将信用卡信息存储在桌面上的纯文本CSV文件中。然后通过FTP发送到支付网关....

几年前，一位朋友给了我一把他发现的旧斧头，希望我告诉他这是一件古老的人工制品。所以，我在谷歌上搜索了一些可能有助于识别的网站，得到了一个链接到英国中部某处的博物馆网站。

只不过它把我放到的那个页面给了我整个网站的完全管理员权限。作为一个负责任的人，我更改了账户所有者的名字，这样他们就知道我不是在胡说八道，并给他们发了一封电子邮件，建议他们在更恶毒的人发现之前，把让我进入的漏洞堵上。

不用说，我收到了网站所有者的一封非常感谢的电子邮件，开发人员向他保证，错误已经被发现并修复了。尽管你不得不怀疑一个如此粗心大意的人的能力。

几年前我移植的一款遗留应用使用了第三方回调系统来处理支付。问题是，回调脚本没有检查支付的金额是否等于订单的价格，因此可以使用Firebug编辑支付页面上“金额”字段的内容，以0.01英镑的价格购买网站上的任何产品。