Meine (wenngleich harmlos verlaufenen) Highlights bislang - für nix davon war ein Hacking-Tool nötig

• Webseite mit Doku, beim Verwenden der Suche gibt’s ab und an komische SQL Fehler. Auf einen Verdacht hin halt mal nach Suchbegriff' UNION SELECT * FROM TabelleGibtsNicht;-- gesucht und… ups… Fehlermeldung, dass die Tabelle nicht existiert…
• Hersteller einer Software schickt uns die neue Version. Ich beschwere mich, dass sie vergessen haben die Jar für die API der neuen Version mitzuliefern. Antwort: Ja, passiert. Wir verwenden die auch intern in Komponente X, kopiere dir einfach die API.jar aus diesem Ordner und nimm die. Hab mich gewundert, warum die plötzlich so groß ist. In die IDE rein geladen und gesehen, dass da einige Klassen sind, die da nicht hin passen. Beim rumklicken in der IDE listet mir die die Inhalte der Jar und da liegen plötzlich der komplette Sourcecode und andere Daten und Dokumente in der JAR, die ich definitiv nicht haben sollte. Mit den älteren Versionen verglichen: Ja, der offizielle Build ist sauber. Die API für die eine Komponente liefert das aber schon seit über einem Jahr so aus. Da ist irgendein Buildprozess Amok gelaufen und hat gefühlt das komplette Home Verzeichnis des Entwicklers mit reingebaut.
• Andere Software, anderer Hersteller, Java-Webapp. Unser Sicherheitsscanner meldet verwundbare Komponenten im Tomcat webapps Ordner der Anwendung. Er hatte dort die pom.xml usw. gefunden und analysiert. Hab mich gewundert und reingeschaut. Blöderweise waren darin für Build Steps Passwörter für Fileshares, Systeme und Codezertifikate enthalten (die Zertifikate selber zum Glück nur als Pfad zur Datei angegeben) und ein paar andere interessante Dinge