COMPANY NEWS 公司新闻
Industry News 行业新闻
深圳建站公司谈滥用搜索功能出现的逻辑缺陷
发布时间:2014/7/7 23:17:27 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
在有些情况下,能够用搜索功能过滤信息,使用这种技巧可对内部的文档管理软件实施有效的攻击。一个提供预订的金融新闻和信息访问的应用程序中发现过这种逻辑缺陷。应用程序允许用户访问大量的历史档案与当前资料,包括可查阅的公司账面、新闻、市场分析等等。
随后,我们在两个完全无关的应用程序中遇到相同的漏洞,这表明许多逻辑缺陷很难捉摸,但又广泛存在着。应用程序提供一个强大的、分类详细的搜索功能,所有用户都可使用这功能。这个功能所有的深圳建站公司的程序设计者都认为这是一种有用的营销策略,如果匿名用户执行一项查询,搜索功能将返回所有与查询相匹配的文档链接。然而,如果用户想要查询返回的受保护文档的实际内容,就需要付费订阅。
深圳网站优化公司的应用程序设计者认为,如果用户不付费订阅,就无法使用搜索功能提供提取有用的信息。搜索结果返回的文档标题含义比较模糊,例如,“2013年报告”、“新闻稿07-07-2014”等等。
狡猾的用户是可以提交大量的查询,通过推断出需要付费才能查阅的信息并利用搜索功能提取。因为搜索功能指出与某一查询匹配的文档数量。
虽然用户不能查看文档的具体内容,但通过发挥充分的想象并使用针对性的请求,他就能够相对清楚地了解文档的内容。
随后,我们在两个完全无关的应用程序中遇到相同的漏洞,这表明许多逻辑缺陷很难捉摸,但又广泛存在着。应用程序提供一个强大的、分类详细的搜索功能,所有用户都可使用这功能。这个功能所有的深圳建站公司的程序设计者都认为这是一种有用的营销策略,如果匿名用户执行一项查询,搜索功能将返回所有与查询相匹配的文档链接。然而,如果用户想要查询返回的受保护文档的实际内容,就需要付费订阅。
深圳网站优化公司的应用程序设计者认为,如果用户不付费订阅,就无法使用搜索功能提供提取有用的信息。搜索结果返回的文档标题含义比较模糊,例如,“2013年报告”、“新闻稿07-07-2014”等等。
狡猾的用户是可以提交大量的查询,通过推断出需要付费才能查阅的信息并利用搜索功能提取。因为搜索功能指出与某一查询匹配的文档数量。
虽然用户不能查看文档的具体内容,但通过发挥充分的想象并使用针对性的请求,他就能够相对清楚地了解文档的内容。
