分页: 1 / 1

发现一枚大bug

发表于 : 2013-12-30 10:07
gcell
直接把论坛地址栏中的帖子复制给别人,别人在不知道我帐号密码的情况下,竟然可以通过点击链接使用我的帐号访问而且可以发帖,这是是神马情况!

请求管理员关注,涉bug帖子:viewtopic.php?f=162&t=448911&p=3052498#p3052498

Re: 发现一枚大bug

发表于 : 2013-12-30 10:09
gcell

Re: 发现一枚大bug

发表于 : 2013-12-30 10:25
gcell

Re: 发现一枚大bug

发表于 : 2013-12-30 10:33
灰色小狼
未能重现

Re: 发现一枚大bug

发表于 : 2013-12-30 10:37
oneleaf
如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。

Re: 发现一枚大bug

发表于 : 2013-12-30 11:00
gcell
oneleaf 写了:如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。
:em20 看来暂时是无解了。
我是湘潭的、朋友是长沙的,应该不是同一个IP,地域上相邻估计应该是同一个IP段。

Re: 发现一枚大bug

发表于 : 2013-12-30 13:22
adagio
ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK

Re: 发现一枚大bug

发表于 : 2013-12-30 13:27
phoenixlzx
很明显把sid复制过去了... 你把你的用户session给别人就相当于在session有效期内把自己的帐号交给别人了。

Re: 发现一枚大bug

发表于 : 2013-12-30 19:09
qy117121
adagio 写了:ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK