|
|
主题: 用UD做的站点的漏洞~~~~~~~~~~~~~
|
jesron
职务:普通成员
等级:2
金币:1.0
发贴:393
注册:2001/1/27 0:06:31
|
#12002/4/17 0:28:38
我自己试了一下,有这样的漏洞,哪位高手可以解决?
做了一个留言本,一个管理员页面.
用普通用户登陆到留言页面,然后直接在游览器上面输入管理员页面的地址,UD不能分出是普通用户和超级用户
我是这样做的:
在管理员页面中用UD自带的验证程序来限制不人登陆页面登陆而直接输入网址进入页面。
也许我讲得不清楚,但是我想这是一个可怕的漏洞!!!
|
蓝岭飞鸟
职务:普通成员
等级:2
金币:1.0
发贴:395
注册:2001/10/18 12:37:14
|
#22002/4/17 1:39:17
不是有保护页面这个功能的嘛?
|
jesron
职务:普通成员
等级:2
金币:1.0
发贴:393
注册:2001/1/27 0:06:31
|
#32002/4/18 15:10:59
我就是用这个功能的呀,但是自己试了一下真的是有存在这个漏洞呀。
|
5DDC版主
职务:版主
等级:6
金币:10.0
发贴:3820
注册:2002/3/25 21:30:11
|
#42002/4/18 15:14:57
这个和UD没有关系!
你直接作一个登陆级别验证就可以了!
比如一个admin字段,0是标准用户,1是管理员,然后写入cookie判断,admin=1的润许进入,admin=1返回登陆就可以了!
|
蓝岭飞鸟
职务:普通成员
等级:2
金币:1.0
发贴:395
注册:2001/10/18 12:37:14
|
#52002/4/18 18:57:02
他说的是不登录直接通过网址访问管理页面吧?
|
lgj1012
职务:普通成员
等级:1
金币:0.0
发贴:1
注册:2002/4/19 22:38:32
|
#62002/4/19 22:51:22
手工添加一个判断 session
|
54aft
职务:普通成员
等级:2
金币:1.0
发贴:657
注册:2002/8/26 17:11:53
|
#72002/10/15 13:35:26
根本不用什么!访问我的站点吧!我的站点就能认出超级用户和普通用户 
|
忧忧
职务:普通成员
等级:1
金币:1.0
发贴:180
注册:2002/7/23 1:32:17
|
#82002/10/15 14:06:22
手工添加一个判断 session
我是用这个方法来区分超级用户和普通用户。其他方法可以参考一下你们的建议!
|
niulan
职务:普通成员
等级:1
金币:0.0
发贴:13
注册:2002/10/11 17:31:57
|
#92002/10/15 15:29:22
哎呀,不说不知道,一说吓一跳。我测试我按照教程做的留言薄,也存在这个问题。直接输入管理页面的网址,就可以进去删除东西拉 :((((((
怎么解决啊?
|
hotman
职务:普通成员
等级:1
金币:0.0
发贴:224
注册:2001/12/16 8:20:45
|
#102002/10/16 8:23:46
我想不是软件的因素,是人的因素
|
忧忧
职务:普通成员
等级:1
金币:1.0
发贴:180
注册:2002/7/23 1:32:17
|
#112002/10/16 13:35:53
可以通过其他的方式解决这个问题!
没有什么可以担心的!
|
大肚佛
职务:普通成员
等级:1
金币:1.0
发贴:247
注册:2001/6/6 9:48:50
|
#122002/10/16 14:53:51
建议不要用SESSION来保存,还是COOKIES吧。
其实这个很简单,按batyvn的就成了。
|
小洛
职务:普通成员
等级:1
金币:0.0
发贴:4
注册:2001/7/22 13:42:11
|
#132002/10/16 14:58:51
错了,应该session保存,更保险~~~
|
