oBlog 2.52的一个小BUG
Author: Hagen.GoO 转载请注明作者出处
MSN contact: wantm009@hotmail.com
Keyword: oBlog BUG
Quote:
前几天偶然发现采用 oBlog V2.52 搭建的 XXBlog 存在着一个小BUG。比如我注册了一个名为 bloguser 的用户,把日志加密;并且添加了一篇日志,日志自动生成的ID是 1434。
正常情况:这个日志的完整访问连接应该是 http://www.blog.xxx/more.asp?name=bloguser&id=1434,需要输入正确的访问密码才能登录。但是找另外一个已知存在的BLOG名,比如 existent 吧,把访问地址变成 http://www.blog.xxx/more.asp?name=existent&id=1434 就能看到这个本应该密码才能访问的内容。
我没有下载 oBlog 的源程序,推测是 oBlog 程序在匹配 name 和 id 这2个参数时不够严谨所致,似乎它只匹配了 name==1 && id==1 ,没有进一部匹配这个id是不是隶属这个name。
在 oBlog 发布的新版中使用了静态输出,问题有所改善。建议升级。
没有评论:
发表评论