在一次使用360QUAKE搜索的时候发现了这个站点，想着注册一下，结果发现系统在响应时直接回显了存在用户的密码。另外就是在一次项目中也遇到过类似回显密码的情况。 某系统管理后台 其注册页面长这样 注册admin用户时在响应中回显了admin的密码 利用获得的账号/密码可以直接进行登录了 如果是一些非法网站的话还可以留下一些administrator等的不起眼的后门账号 某管理系统普通权限用户有一个转让管理员功能 数据包如下 使用在线的MD5碰撞工具获得弱口令 使用获得的账号密码进行登录 总结总的来说像这种注册时直接回显系统存在用户密码的情况还是比较少见的，但是还是会有惊喜发生的！当时看到也比较震惊！！！

用于Java学习记录 IDEA快捷键/模板快捷键 COMMAND TODO alert+insert 自动生成构造方法 ctrl+h 查看类的层级关系 类1234567891011121314class 类名称 { 属性 (变量) ; 行为 (方法) ;}//class Example:class Person { String name ; int age ; public void get() { System.out.println("姓名：" + name + "，年龄：" + age); }}对象.属性：表示调用类之中的属性；对象.方法()：表示调用类之中的方法。 构造器/构造方法1234567new一个对象时，就会调用构造器，完成对象属性的初始化结构如下：[修饰符，比如public] 类名 (参数列表，可以没有参数){ //这里不能有return&#12 ...