[交流] 2015最靠谱的漏洞 已有11人参与

开始娱乐！（真真假假自己猜，楼主弃楼了） 目前最靠谱的漏洞：项目组成员 简单的统计分析表明出现项目组成员与否差异具有统计学意义。 这里有投票结果： https://muchong.com/bbs/viewthread.php?tid=9264744&fpage=1 由于是自发参与投票，是有偏的，而且可能有故意投错误票的，所以具体不要去纠集那些反例。 直接用时间戳可以在项目组成员列表里看到无关人员。 数据库分配字段的时候一般要预置些内容防止出现纰漏产生随机内容。由于申请书项目组成员数变化比较大，在做字段分配的时候可能使用了之前数据库中随机匹配的项目组字段来预置内容。这也是该漏洞一时无法堵住的原因。所以大家看到的项目组列表里的人数和自己课题组的差不多数目一样。 欢乐的是在分配字段的时候，被用于预置内容的数据库记录权限没有设置得当，被大家玩环了不少，出现了武则天大学之类的记录。 isisn.nsfc.gov.cn/egrantweb/j_spring_security_switch_role?j_role=2 国际合作类页面，绕开权限控制和加密漏洞在不停修补中。 大家看到的那几个菜单时有时无，但是由于字段预置关联太多，这个页面补的效果不好。所以看到”项目管理“这类菜单的，可能也中了。 总之看到项目组列表的就恭喜大家了！ ===================== 158.3版把项目组成员列表漏洞堵了 [ Last edited by ltscu on 2015-8-14 at 16:36 ]

回复此楼