2009/05/21

Firefox 套件 Link Reporter / 本日系統趣事

http://showcase.uworks.net/
https://addons.mozilla.org/zh-TW/firefox/addon/5340

這個套件可以即時顯示目前滑鼠游標上的 Link 是指向哪邊。
方便防範一些 Hyperlink 的欺騙,例如說在 Plurk 上的 http://ooo (http://xxx) 手法。
基本上會比看狀態列來得方便些。

但 是

今天在測試系統的時候發生一件事情。
在讀取資料的時候,再次重整頁面,資料竟然被刪除了!?
還想說:這麼巧使用者在線上喔,查一下使用者記錄。

結果使用者沒登入。XD 更可怕的是資料又被刪除了幾筆!!
這下大條了,調了一堆 log 出來看都沒問題,也不是 session 被偷走還是怎樣的...
不斷的測試讀取那個頁面之後終於那個頁面的資料被刪到剩下一筆了!XD

接著交叉測試 Goddamn 的帳號,他的竟然沒事?!
用他的電腦用我的帳號竟然也沒事...
結果換用 Google Chrome 也沒事...
最後目標還是鎖定在 Firefox 上。
(用 Goddamn 帳號的時候應該正好沒讀取到。)

東看看西看看,把 Firebug 關了,把 CoolPreviews 關了,把 AutoPager 也關了,
一些 SQL/XSS 測試套件通通關光。還是沒用。

最後想到,該不會是 Link Reporter................
用 Proxy 測一下,果然有送出 HEAD /deldata.php?id=123321 之類的。
應該是滑鼠移過去的時候 Request HEAD 讀取 HyperLink,然後就觸發了功能。

真相大白。
嚇出一身冷汗。

這給我幾個教訓:
1. 提姆員外說得對,Firefox 套件不要亂裝。XD
2. 直接 HEAD /xxx.php 就觸發這種設計真的是不太好,應該檢討一下。

Link Reporter 此套件安裝者請小心使用。XD

No comments:

Post a Comment