-1
如果用戶想要一個功能,功能請求的優先級較低,但用戶發現並利用了一個允許獲得與該功能相同的結果的錯誤,我應該如何開發?我應該修復這個錯誤(並且失去一個「功能」)嗎?使用漏洞利用功能。我應該允許嗎?
注意:該錯誤不是安全威脅,也不是數據完整性威脅。
場景#2:我們不知道用戶是否將漏洞利用作爲「功能」。同樣的問題。
A
回答
0
嘛,這更是個人喜好,而不是編碼,但一個問題...
如果人們已知使用的bug /功能,並假設我們是100%肯定的bug是不是安全威脅,我會把它留在那裏,直到我可以正確實現這個功能。
我不想冒用戶使用服務的風險(即使這意味着他們不得不臨時使用bug來做他們想做的事)。
但是,如果您認爲沒有人使用該錯誤或者它可能是我的安全威脅,我會修復它。
0
我覺得這取決於。如果他們沒有惡意使用它,我會繼續讓他們使用漏洞利用,然後確保只要實際實現了該功能,就可以確保它與漏洞利用的工作方式相似,同時保持用戶安全,避免崩潰和喜歡。
我的意思是,如果我一直在使用漏洞啓用某項功能,並且突然間我不能使用我一直在做的任何工作,我都會感到沮喪。此外,當然,一定要告訴用戶,漏洞利用已被修復,並且每當您執行操作時都會替換爲某項功能。
0
我認爲你有兩個選擇: 選項1: 通過對bug進行良好的研究,確保該bug不是安全威脅或數據完整性威脅。如果您發現使用該漏洞確實沒有風險,您可以使用它,也可以進一步開發以獲得良好的用戶體驗。
選項2:禁用它以您想要的方式開發並釋放它。
相關問題
- 1. 計$ _SERVER [ 「PHP_SELF」]漏洞利用
- 2. 捍衛漏洞利用
- 3. 我應該使用countif功能嗎?
- 4. 我應該使用咖喱功能嗎?
- 5. 我應該允許多次登錄嗎?
- 6. 編譯概念證明漏洞利用
- 7. ASP.NET 4.0會話修復漏洞利用
- 8. 關於利用printf格式漏洞
- 9. 如何利用HTTP頭XSS漏洞?
- 10. 使用功能後應該返回嗎?
- 11. Metasploit漏洞利用「沒有nop生成器成功」
- 12. 有人聽說過「黑客利用內核漏洞」(Exploit Enlightenment)嗎?
- 13. 樣的Web應用漏洞
- 14. iOS應用程序的內存泄漏是否會利用任何漏洞?
- 15. 如何在PHP中重定向漏洞之後利用執行漏洞?
- 16. .NET 3.5允許使用Windows 7的新功能嗎?
- 17. bash漏洞利用(CVE-2014-6271)是否需要終端訪問才能使用?
- 18. ES6允許類生成功能嗎?
- 19. 我應該使用Django的管理功能嗎?
- 20. 我應該爲每個http請求使用firebase雲功能嗎?
- 21. 我應該儘可能使我的功能儘可能通用嗎?
- 22. 如果使用JSONP來解決相同的源策略,它不能用於XSS漏洞利用嗎?
- 23. &允許使用XML嗎?
- 24. 我應該如何構建我的火力模式以允許搜索功能
- 25. ORA-00934:此處不允許使用組功能00934. 00000 - 「此處不允許使用組功能」
- 26. 我允許創建一個允許用戶喜歡Facebook頁面的應用嗎?
- 27. 將ajax請求更改爲不同的php文件漏洞,可能的利用漏洞說明
- 28. 我應該使用AJAX嗎?
- 29. 我應該使用document.writeln嗎?
- 30. 我應該使用convertView嗎?
那麼,它是或*不是它是一個錯誤? – 2012-08-14 18:12:33
這是一個錯誤。一個極端的例子是:讓字段中的sql注入,以便用戶可以進行他想要的更改。這將是不可接受的(從我的角度來看),但一個不太侵入性的利用可以用作一個功能。 – 2012-08-14 18:14:41
調用「未記錄的功能」並完成它lol :-) – Gravitate 2012-08-14 18:18:03