-1
如果用户想要一个功能,功能请求的优先级较低,但用户发现并利用了一个允许获得与该功能相同的结果的错误,我应该如何开发?我应该修复这个错误(并且失去一个“功能”)吗?使用漏洞利用功能。我应该允许吗?
注意:该错误不是安全威胁,也不是数据完整性威胁。
场景#2:我们不知道用户是否将漏洞利用作为“功能”。同样的问题。
A
回答
0
嘛,这更是个人喜好,而不是编码,但一个问题...
如果人们已知使用的bug /功能,并假设我们是100%肯定的bug是不是安全威胁,我会把它留在那里,直到我可以正确实现这个功能。
我不想冒用户使用服务的风险(即使这意味着他们不得不临时使用bug来做他们想做的事)。
但是,如果您认为没有人使用该错误或者它可能是我的安全威胁,我会修复它。
0
我觉得这取决于。如果他们没有恶意使用它,我会继续让他们使用漏洞利用,然后确保只要实际实现了该功能,就可以确保它与漏洞利用的工作方式相似,同时保持用户安全,避免崩溃和喜欢。
我的意思是,如果我一直在使用漏洞启用某项功能,并且突然间我不能使用我一直在做的任何工作,我都会感到沮丧。此外,当然,一定要告诉用户,漏洞利用已被修复,并且每当您执行操作时都会替换为某项功能。
0
我认为你有两个选择: 选项1: 通过对bug进行良好的研究,确保该bug不是安全威胁或数据完整性威胁。如果您发现使用该漏洞确实没有风险,您可以使用它,也可以进一步开发以获得良好的用户体验。
选项2:禁用它以您想要的方式开发并释放它。
相关问题
- 1. 计$ _SERVER [ “PHP_SELF”]漏洞利用
- 2. 捍卫漏洞利用
- 3. 我应该使用countif功能吗?
- 4. 我应该使用咖喱功能吗?
- 5. 我应该允许多次登录吗?
- 6. 编译概念证明漏洞利用
- 7. ASP.NET 4.0会话修复漏洞利用
- 8. 关于利用printf格式漏洞
- 9. 如何利用HTTP头XSS漏洞?
- 10. 使用功能后应该返回吗?
- 11. Metasploit漏洞利用“没有nop生成器成功”
- 12. 有人听说过“黑客利用内核漏洞”(Exploit Enlightenment)吗?
- 13. 样的Web应用漏洞
- 14. iOS应用程序的内存泄漏是否会利用任何漏洞?
- 15. 如何在PHP中重定向漏洞之后利用执行漏洞?
- 16. .NET 3.5允许使用Windows 7的新功能吗?
- 17. bash漏洞利用(CVE-2014-6271)是否需要终端访问才能使用?
- 18. ES6允许类生成功能吗?
- 19. 我应该使用Django的管理功能吗?
- 20. 我应该为每个http请求使用firebase云功能吗?
- 21. 我应该尽可能使我的功能尽可能通用吗?
- 22. 如果使用JSONP来解决相同的源策略,它不能用于XSS漏洞利用吗?
- 23. &允许使用XML吗?
- 24. 我应该如何构建我的火力模式以允许搜索功能
- 25. ORA-00934:此处不允许使用组功能00934. 00000 - “此处不允许使用组功能”
- 26. 我允许创建一个允许用户喜欢Facebook页面的应用吗?
- 27. 将ajax请求更改为不同的php文件漏洞,可能的利用漏洞说明
- 28. 我应该使用AJAX吗?
- 29. 我应该使用document.writeln吗?
- 30. 我应该使用convertView吗?
那么,它是或*不是它是一个错误? – 2012-08-14 18:12:33
这是一个错误。一个极端的例子是:让字段中的sql注入,以便用户可以进行他想要的更改。这将是不可接受的(从我的角度来看),但一个不太侵入性的利用可以用作一个功能。 – 2012-08-14 18:14:41
调用“未记录的功能”并完成它lol :-) – Gravitate 2012-08-14 18:18:03