Привет тебе %username%!
На полноценный пост не тянет, так что назовём это заметкой. Часто, в процессе разработки, особенно на крупных проектах, кодеры оставляют возможность включить дебаг, включают вывод ошибок, создают тестовые учётки. Обычно для этого создают отдельный стенд, например на поддоменах beta, alpha, test. Кстати говоря, многие часто забывают закрыть доступ, естественно это не безопасно. Тем более зачем ставить сложный пароль для администратора на тестовом стенде?)
А иногда, интересные дебаги встроены прямо в веб-приложение и ждут не дождутся, когда тестировщик включит его, поэтому полезно добавить debug=1 или debug=true в запрос. Иногда это безобидные логи, на подобии https://twitter.com/?debug=1 (или cookie: tw_debug=true), а иногда нечто более серьёзное.
debug в twitter
debug в vk
Некоторые ресурсы включат var_dump (информацию о переменных в PHP), что позволяют злоумышленнику лучше изучить ресурс, некоторые просто выводят на страницу пользовательские данные, которые часто не фильтруются.
Дебаг в skype
А ведь всего лишь достаточно добавить переменную дебага в параметр. А может быть встречали окно дебага у Google или параметр ym_debug у Яндекса?
Покупаем журнал xakep тестовой учёткой
Для тестировщиков (чтоб не копипастить по 10 раз) иногда вводят параметр, который делает автозаполнение в поля с данными для тестирования. Да во многих сайтах можно попробовать восстановить аккаунт по email’у [email protected] или для домена example.com. Если говорит, что ссылка для восстановления пароля ушла — значит аккаунт есть, а пароль скорее всего не сложный.
Мораль сей басни такова — не при в продакшн ты дебаг.