[注意] 中華電信 emome 網站大bug

kevin525
個人積分：596分
文章編號：1441155

596分

樓主

2006-07-17 16:25

emome 發現一個很嚴重的問題

剛剛一個網友要我幫他查詢有關的中華電信手機優惠

而我

emome 沒有登出

直接就將那網址傳給那網友

結果那網友點了網址後

發現可以進去我的帳戶資料

也就是說我的會員資料別人也可以看得到

可以請其他人是看看

他似乎是認網址而不是ip

2006-07-17 16:25 發佈

文章關鍵字網站中華電信 emome

kevin525

kevin525
個人積分：596分
文章編號：1441232

596分

樓主

2006-07-17 16:51

剛剛測試三四次

狀況都一樣在發生

請注意

當網址出現很多＠＠＠＠的時候

就別將這網址轉給其他人

否則帳戶資了被人修改了也不知道

請小心

https://www.accupass.com Accupass活動通！

catmanc

catmanc
個人積分：190分
文章編號：1441240

190分

3樓

2006-07-17 16:52

聽起來好像是把個人資料直接用post的方式放在url裡面

這樣實在蠻恐怖的說

一般應該是都丟cookie或是用section來儲存比較保險說

重劍無鋒，大巧不工

chujy

chujy
個人積分：39470分
文章編號：1441315

39470分

4樓

2006-07-17 17:10

一般應該是即使將網址包括?之後post的資料傳給他人, 他人在時間內同樣傳到 server後端, 只要session timeout應該會要求再重新登入, 會做到卡IP? 這就未知了.

剛試一下, 應該只可以看, 但如果要修改, 還是會要你再登入一次. 所以應該不能修改, 但還是看得到你的相關資訊!

kevin525 wrote:
剛剛測試三四次狀況...(恕刪)

Statics

Statics
個人積分：45分
文章編號：1441415

45分

5樓

2006-07-17 17:40

因為他網頁是用jsp, 所以jsession會帶在網址, 所以造成這樣的情況

rolandshiue

rolandshiue
個人積分：0分
文章編號：1441439

0分

6樓

2006-07-17 17:46

預設是可自動判定的
emome亂設吧

php也可帶session key
asp不行

emome的問題!大bug

Statics

Statics
個人積分：45分
文章編號：1441648

45分

7樓

2006-07-17 19:07

可能是為了讓一些手持裝置也可以連上使用, 怕有一些不吃cookie的關係唄.

kkssppy

kkssppy
個人積分：2分
文章編號：1442056

2分

8樓

2006-07-17 21:50

測試結果的確可以修改個人資料喔，session timeout　大約幾分鐘沒動作會失效，可看到個人設定，轉寄某個網頁前，請先不要登入，測試別家也有此bug啦，想要更了解可以參考此url
http://www.javaworld.com.tw/jute/post/page?bid=6&sty=1&age=0

dustcart

dustcart
個人積分：0分
文章編號：1443459

0分

9樓

2006-07-18 10:10

這不是bug啦!!
http的session機制，因為cookie不是所有的user都可以接受，所以很多網站都以session來做。
你可以登入中國信託的網路銀行 https://consumer.chinatrust.com.tw/cgi-bin/prod/jsp/ch/home/index.jsp?content_item=LOGIN-0002&session_home=1 試試看，把登入後的網址copy到其他台PC，看是不是顯示同一個人。
這種連結時間到都會自動timeout斷線滴....

jjjj

jjjj
個人積分：228分
文章編號：1443575

228分

10樓

2006-07-18 10:48

基本上我們應該不會任意的把網址傳給陌生人吧?

發文夥伴在這種情況下(帶有個人session id)要傳送網頁資訊給朋友，應該用複製或是截圖的方式比較好。

[注意] 中華電信 emome 網站 大bug

[注意] 中華電信 emome 網站大bug