Hoy por casualidad he descubierto un bug en un código PHP que permite realizar cualquier operación con la aplicación sin estar autenticado, y que no se detecta con las herramientas de depuración de los navegadores web.
El programador de la aplicación realiza de forma sistemática una comprobación de la autenticación del usuario al principio de cada página PHP y en caso de no estar autenticado envía al cliente un cabecera HTTP 302 Found. Cuando el programador probaba la aplicación, con el Chrome y sus herramientas de depuración de red, podía ver perfectamente como en cada GET sin cookie de autenciación el navegador recibía un código 302 y, en el cuerpo del response, un mensaje gordo que decía "Failed to load response data", que es lo que dice siempre que no hay cuerpo en la respuesta HTTP.