在登录时，有一个隐藏的字段，让“网站管理员”选择成功和失败时要包含的文件。

是的，/etc/password工作了。

或者在“log”目录中，有order-xxx。order-xxx.txt包含卡号，包括检查号和验证日期。

在签名代码中:

System.setSecurityManager(null);

(你可以通过谷歌代码搜索。)从进程中运行的所有代码中删除所有Java安全限制。可能没有想清楚。

几年前，一位朋友给了我一把他发现的旧斧头，希望我告诉他这是一件古老的人工制品。所以，我在谷歌上搜索了一些可能有助于识别的网站，得到了一个链接到英国中部某处的博物馆网站。

只不过它把我放到的那个页面给了我整个网站的完全管理员权限。作为一个负责任的人，我更改了账户所有者的名字，这样他们就知道我不是在胡说八道，并给他们发了一封电子邮件，建议他们在更恶毒的人发现之前，把让我进入的漏洞堵上。

不用说，我收到了网站所有者的一封非常感谢的电子邮件，开发人员向他保证，错误已经被发现并修复了。尽管你不得不怀疑一个如此粗心大意的人的能力。

当我13岁的时候，我的学校为学生开设了一个社交网络。不幸的是，我发现了一个安全漏洞，可以将URI更改为另一个用户id，如“?”userID=123”，并为该用户登录。显然，我告诉了我的朋友们，最后学校的社交网络充满了色情。

不过我不推荐。

我最后工作的公司的FTP用户名和密码与他们的域名相同。他们不太在意反复警告。

不用说，网站没过多久就倒闭了。没有在线备份，所以他们不得不重建整个系统。但这并没有结束。这次事件后的新安全密码是一样的…加上123。

我继承了一个客户项目来照看:一个ASP。网项目 (构建于1.1)，其中50%是编译DLL(没有编译DLL) 源代码)和50%的JIT编译后代码。

整个网站应该只对会员开放——除了 原来的开发人员已经建立了一个后门:只需提交 用空白的用户名和密码登录表单，你就会 找到自己作为一个秘密的超级管理员登录:做 什么都看，什么都看。

您猜对了:所有的身份验证代码都被隐藏了 在预编译的DLL中。最糟糕的是当我 被告知“它不在bug列表中，那么客户端呢? 不会付钱，所以离开它”。我照做了，现在还在直播 今天。