2014年5月22日 星期四

試閱版的漏洞


最近用得多雜誌 App,發現它們都有「試閱版」給用戶參考。這個「試閱版」通常都是過氣了的期刊。在編程及營運的角度考慮,「試閱版」內容多數放在雲端,在有需要時才下載、有需要時才更新。就是因為這樣的設計,往往應用程式會向雲端取得當刻「試閱版」的資料,而往往正式版的內容也放在同一個地方。因此漏洞便會出現!只要利用 HTTP Proxy + Rewrite 把由雲端傳回應用程式的數據修改,便能達到試閱最新完全版的效果。雖然雲端上的 PDF 或 JPG 都一定被加密,能防止有人直接下載檔案。要解碼確實有一定的難度,但由 App 自己解讀就防不勝防。不同期刊的密碼,不見得一定不同。管理人也會偷懶。

要改善以上問題,首先要在不同期刊中使用不同密碼;其次是把「試閱版」的路徑分開,而且目錄名稱不帶有意思。

沒有留言: