在有些情況下,能夠用搜索功能過濾信息,使用這種技巧可對內(nèi)部的文檔管理軟件實施有效的攻擊。一個提供預(yù)訂的金融新聞和信息訪問的應(yīng)用程序中發(fā)現(xiàn)過這種邏輯缺陷。應(yīng)用程序允許用戶訪問大量的歷史檔案與當(dāng)前資料,包括可查閱的公司賬面、新聞、市場分析等等。
隨后,我們在兩個完全無關(guān)的應(yīng)用程序中遇到相同的漏洞,這表明許多邏輯缺陷很難捉摸,但又廣泛存在著。應(yīng)用程序提供一個強大的、分類詳細的搜索功能,所有用戶都可使用這功能。這個功能所有的
成都建站公司的程序設(shè)計者都認為這是一種有用的營銷策略,如果匿名用戶執(zhí)行一項查詢,搜索功能將返回所有與查詢相匹配的文檔鏈接。然而,如果用戶想要查詢返回的受保護文檔的實際內(nèi)容,就需要付費訂閱。
深圳網(wǎng)站優(yōu)化公司的應(yīng)用程序設(shè)計者認為,如果用戶不付費訂閱,就無法使用搜索功能提供提取有用的信息。搜索結(jié)果返回的文檔標(biāo)題含義比較模糊,例如,“2013年報告”、“新聞稿07-07-2014”等等。
狡猾的用戶是可以提交大量的查詢,通過推斷出需要付費才能查閱的信息并利用搜索功能提取。因為搜索功能指出與某一查詢匹配的文檔數(shù)量。
雖然用戶不能查看文檔的具體內(nèi)容,但通過發(fā)揮充分的想象并使用針對性的請求,他就能夠相對清楚地了解文檔的內(nèi)容。
網(wǎng)站名稱:深圳建站公司談濫用搜索功能出現(xiàn)的邏輯缺陷
路徑分享:http://jinyejixie.com/news27/170377.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營銷seo公司;服務(wù)項目有建站公司等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)