harzol Creative Commons License 2005.07.16 0 0 topiknyitó

Sziasztok!

Észrevettem egy érdekes hibát a primposta rendszerében.
Simán egy URL-el be lehet lépni a felhasználókhoz.

Pl: 

http://posta.prim.hu/session/d5963a2a2b5a66ff8cb9dc5b4500adc4/mailbox.prm?actionID=4242

 

Ilyen és ehhez hasonló címekhez pedig bármely forgalmasabb weboldal gazdája hozzájuthat, ugyanis ha egy primpostás e-mailre érkezett linkre rákattint valaki és a megnyíló oldalon jegyzik, hogy honnan érkezik a látogató, akkor már meg is van a cím. Ezen aztán simán be lehet lépni.
Ezt egyébként PHP-ben a $_server['http_referer'] változó tartalmazza.

A helyzetet súlyosbítja, hogy ha az illető kilépett a dolog még akkor is működik.

 

Ezt a hibát azért fedtem fel, hogy megóvjam a gyanútlan felhasználókat és elősegítsem a hiba elhárítását.

 

További jó levelezést mindenkinek!

 

Üdv,

Harzol

http://www.lottoszimulator.hu