harzol
2005.07.16
|
|
0 0
topiknyitó
|
Sziasztok!
Észrevettem egy érdekes hibát a primposta rendszerében. Simán egy URL-el be lehet lépni a felhasználókhoz.
Pl:
http://posta.prim.hu/session/d5963a2a2b5a66ff8cb9dc5b4500adc4/mailbox.prm?actionID=4242
Ilyen és ehhez hasonló címekhez pedig bármely forgalmasabb weboldal gazdája hozzájuthat, ugyanis ha egy primpostás e-mailre érkezett linkre rákattint valaki és a megnyíló oldalon jegyzik, hogy honnan érkezik a látogató, akkor már meg is van a cím. Ezen aztán simán be lehet lépni. Ezt egyébként PHP-ben a $_server['http_referer'] változó tartalmazza.
A helyzetet súlyosbítja, hogy ha az illető kilépett a dolog még akkor is működik.
Ezt a hibát azért fedtem fel, hogy megóvjam a gyanútlan felhasználókat és elősegítsem a hiba elhárítását.
További jó levelezést mindenkinek!
Üdv,
Harzol http://www.lottoszimulator.hu |
|