版主不要偷懒了！严重安全问题

经过测试，在任意浏览器都发生这个问题 登入后，输入 space.php?do=notice&uid=xx, 即可察看xx的最新通知 更为严重的情况 开启url rewrite 伪静模式 在特定情况下 输入  space-notice.html 即可登入任意账号 麻烦尽快查证，并发布临时解决方案 谢谢

经测试没有此类问题！

回复 xy100200 的帖子

我在官方uchome测试都有这个问题
你是在哪儿测试？

官方也没有此问题！

在特定情况下 输入  space-notice.html 即可登入任意账号

这个指什么特定情况下？

回复 云天一 的帖子

你可以到官方的uchome 测试 space.php?do=notice&uid=任意
我可以进入每个人的户口

cybaster86 发表于 2010-8-31 18:06
回复 云天一 的帖子

你可以到官方的uchome 测试 space.php?do=notice&uid=任意

我问的是

在特定情况下 输入  space-notice.html 即可登入任意账号

回复 云天一 的帖子

麻烦你把该看的帖子都看完，已经回答在另外一个帖子

回复 云天一 的帖子

还不清楚，我远程登入不少用户的电脑都找不出共同点，而且错误登入的户口也不是同一个

可以肯定的是存在漏洞， 因为输入 space.php?do=notice&uid=1 就已经可以查看到管理员的通知和招呼等等了。

登入后，输入 space.php?do=notice&uid=xx, 即可察看xx的最新通知
这个只能看到显示，如果点击的话会跳到自己的相应通知里。