漏洞

歷史記錄, 2009/7/7, 10:14, 婚紗.

這個漏洞是網頁的寫法所造成.
語法中, 把有驗證與沒驗證的兩種情形都寫在同一頁, 用 div tag 隔開, 所以只要看原始檔, 仔細分析, 就可以找到前後頁面的link, 也可以找到相片的真正URL.

但是, 要利用到這個漏洞須有個前提: 要得知某一個受限制的相片頁面URL.

我能夠得到URL, 是因為在7/7那天早上, 這個相本是開放的, 而且我曾經瀏覽過.
所以從歷史記錄或是cache中, 我能夠得到真正的URL.
如果只是知道相簿的網頁, 還是不夠.