当我使用Colloquy (IRC)时，密码字段会弹出，但我仍然在主屏幕上集中，所以当我按下enter键时，全世界都知道我的密码，而我却没有意识到。

有许多网站使用代理文件来传送图像或其他文件。没有检查路径的有效性。

So.

getfile.php ?文件 =../../../../ 等/ passwd

or

Getfile.php ?file=../index.php(包含所有密码的纯文本)

令人惊讶的是，还有很多网站仍然存在这个缺陷。getfile.php只需要谷歌，你就可以轻松地打开盒子了。

曾经在一个网站的URL上注意到这一点。

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

将最后一个参数更改为admin=1给了我admin权限。如果你要盲目相信用户输入，至少不要让人知道你在这么做!

我所见过的最糟糕的安全漏洞实际上是由你们公司编写的，导致谷歌机器人删除了我的整个数据库。

当我第一次学习经典ASP时，我编写了自己的基本博客应用程序。包含所有管理脚本的目录在IIS上受到NTLM的保护。有一天，我移动到一个新的服务器，忘记重新保护IIS中的目录(哎呀)。

博客主页有一个指向主管理界面的链接，主管理界面为每条记录都有一个DELETE link(没有确认)。

有一天，我发现数据库中的每一条记录都被删除了(数百条个人记录)。我以为是某个读者闯入了网站，恶意删除了所有的记录。

我从日志中发现:谷歌机器人爬了站点，跟踪管理链接，然后继续跟踪所有的DELETE链接，从而删除数据库中的每一条记录。我觉得我当之无愧的年度傻瓜奖被谷歌机器人无意中损害了。

谢天谢地，我有备份。

几年前，一位朋友给了我一把他发现的旧斧头，希望我告诉他这是一件古老的人工制品。所以，我在谷歌上搜索了一些可能有助于识别的网站，得到了一个链接到英国中部某处的博物馆网站。

只不过它把我放到的那个页面给了我整个网站的完全管理员权限。作为一个负责任的人，我更改了账户所有者的名字，这样他们就知道我不是在胡说八道，并给他们发了一封电子邮件，建议他们在更恶毒的人发现之前，把让我进入的漏洞堵上。

不用说，我收到了网站所有者的一封非常感谢的电子邮件，开发人员向他保证，错误已经被发现并修复了。尽管你不得不怀疑一个如此粗心大意的人的能力。

一家销售电脑的公司用FrontPage建立了一个网站，每个人都可以完全访问。