在有些情況下,能夠用搜索功能過(guò)濾信息,使用這種技巧可對(duì)內(nèi)部的文檔管理軟件實(shí)施有效的攻擊。一個(gè)提供預(yù)訂的金融新聞和信息訪問(wèn)的應(yīng)用程序中發(fā)現(xiàn)過(guò)這種邏輯缺陷。應(yīng)用程序允許用戶(hù)訪問(wèn)大量的歷史檔案與當(dāng)前資料,包括可查閱的公司賬面、新聞、市場(chǎng)分析等等。
隨后,我們?cè)趦蓚€(gè)完全無(wú)關(guān)的應(yīng)用程序中遇到相同的漏洞,這表明許多邏輯缺陷很難捉摸,但又廣泛存在著。應(yīng)用程序提供一個(gè)強(qiáng)大的、分類(lèi)詳細(xì)的搜索功能,所有用戶(hù)都可使用這功能。這個(gè)功能所有的
成都建站公司的程序設(shè)計(jì)者都認(rèn)為這是一種有用的營(yíng)銷(xiāo)策略,如果匿名用戶(hù)執(zhí)行一項(xiàng)查詢(xún),搜索功能將返回所有與查詢(xún)相匹配的文檔鏈接。然而,如果用戶(hù)想要查詢(xún)返回的受保護(hù)文檔的實(shí)際內(nèi)容,就需要付費(fèi)訂閱。
深圳網(wǎng)站優(yōu)化公司的應(yīng)用程序設(shè)計(jì)者認(rèn)為,如果用戶(hù)不付費(fèi)訂閱,就無(wú)法使用搜索功能提供提取有用的信息。搜索結(jié)果返回的文檔標(biāo)題含義比較模糊,例如,“2013年報(bào)告”、“新聞稿07-07-2014”等等。
狡猾的用戶(hù)是可以提交大量的查詢(xún),通過(guò)推斷出需要付費(fèi)才能查閱的信息并利用搜索功能提取。因?yàn)樗阉鞴δ苤赋雠c某一查詢(xún)匹配的文檔數(shù)量。
雖然用戶(hù)不能查看文檔的具體內(nèi)容,但通過(guò)發(fā)揮充分的想象并使用針對(duì)性的請(qǐng)求,他就能夠相對(duì)清楚地了解文檔的內(nèi)容。
網(wǎng)站名稱(chēng):深圳建站公司談濫用搜索功能出現(xiàn)的邏輯缺陷
路徑分享:http://redsoil1982.com.cn/news27/170377.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專(zhuān)注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷(xiāo)seo公司;服務(wù)項(xiàng)目有建站公司等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)