有一次我有……创造性的差异……在我帮助建立的一个社区网站上，另一个编码器添加了一个新的PHP文件，该文件列出了审批队列中的文件，该文件还具有删除每个文件的链接。

不幸的是，这个脚本使用了整个通过模糊实现安全的概念。

不知何故，一个网络爬虫发现了这个页面，并跟踪了所有的删除链接。

不用说，修改元数据或删除文件的脚本现在需要登录。

附注:我与此无关，甚至不知道这个脚本的存在，直到当时的一位工作人员告诉我发生了什么。实际上，我现在又在为这个网站工作了，部分原因是为了确保这样的事情不会再发生。

我以前的学校有学生的密码和他们的用户名一样，加上很容易得到他们的用户名(一个数字，例如123233)，然后你可以点击添加列，找到学生的名字和姓氏，以及他们的用户名。因此，很容易在他们的账户中随机放入垃圾，让他们认为“机器里有鬼”。

我曾经在一个名为ROL的本地互联网门户网站上发现了一个漏洞。RO(罗马尼亚在线-当时由PCNET拥有)。他们有一个免费的网络邮件系统。我想要一个特定的用户名(很容易猜到是哪个)，但它已经被占用了。

出于好奇，我进入了“忘记密码”页面，输入了我想要的(但已被占用的)用户名。然后，在提交时，我看到了一个空白的安全问题。

哇……让我们看看他们是不是很差劲。我确保答案文本框为空，然后提交

“恭喜你，输入你的新密码”。

我输入了密码，劫持了账户。

可能发生在他们的…PHP脚本是他们比较从数据库(在答案-当然他们保持在明文)的空字符串提交我。让它们“相等”引导我进入下一步，重置密码。

是的,站不住脚的。

在这里根据记忆来解释，但它很接近……

<form action="secretpage.html" id="authentication"          
      onsubmit="return document.forms.authentication.password.value == 's3cr3t'">
    Enter password: <input type="password" name="password"><br>
    <input type="submit" name="Login" >
</form>

我认识的一个家伙用这个来保护他网站的“私人区域”。起初，他不愿意相信我，甚至他的浏览器都有这个不可靠的“查看源代码”功能。

我想这是我亲眼见过的最糟糕的一次。在很久以前(20世纪80年代末)，我用COBOL编程了一台IBM 370，后来换成了4341。在一个缓慢的日子里，我在查看文档时发现了一个命令，可以让你搜索磁盘上的所有内容。

所以我搜索我的密码。然后找到了。发现附近所有人的密码。

如果我没记错的话，密码限制在6个字符以内，而且不区分大小写。我不记得当时自己的密码了，但我永远不会忘记系统管理员的密码;这完全符合他的性格。休息日。

我的银行曾经在我的借记卡上发现了一笔“可疑交易”。他们建议我取消它，买一个新的。

在等待新卡的时候，我需要取钱。于是我走进银行，把我的旧卡给了那位女士，并解释说:“这张卡最近被取消了，但我需要一些钱。你能从这个账户里取点钱吗?”

当我走出银行时，口袋里揣着现金，我意识到我刚刚用一张注销的卡从一个账户里取了钱，而没有被要求出示任何形式的身份证明。