login.jsp?type=user&redirct=/home.jsp&userid=12345&username=username&password=mypassword

这发生在一个非常大的网站上。当我看到这个的时候，我惊呆了。

我曾见过法国一家高端国防承包商的高管使用Skype进行非常机密的会谈 (声明一下，Skype使用的是很久以前被破解的RC4加密算法)。

我想他们的无知可以被原谅，因为他们也使用Windows和MS-Word (为了记录，MS-Word保留了以前用这个模板编写的所有文档的历史)。

这引发了一些有趣的问题:纳税人的钱都花到哪里去了——这些钱是否被明智地使用了。

曾经在一个网站的URL上注意到这一点。

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

将最后一个参数更改为admin=1给了我admin权限。如果你要盲目相信用户输入，至少不要让人知道你在这么做!

我所见过的最糟糕的漏洞是web应用程序中的一个漏洞，即提供空用户名和密码将以管理员身份登录。

几年前，一所学校托管了一个学习平台网站，可以上传。php文件到网站上，然后再执行，所以他们给了你整个网站的完全访问权限。还没有被其他学生发现，我认为这个错误仍然存在。

1-800 dominos will give unlisted address's related to any target phone number. When prompted if you are calling about the phone number you called from select no. The system will prompt you for a new phone number, the system will then read back to you the name and address that's associated to this phone number. Enter in your target's phone number and you now have their name and address. This is pretty common with automated ordering systems and if dominos has fixed this there are literally hundreds more.