这些天发现N多网有session漏洞。并且是很明显的那种。

这就很痛苦了。因为做了许多安全机制，可是，疏忽了session漏洞，造成的后果就是我们可以免费地...
ps：再次感谢罗娃娃帮助我分析安全漏洞，以及提醒我很多地方的code。

所以，虽然这个漏洞是很常见的，并且似乎也没有影响，但是，要是小小的疏忽，可能会造成很多的影响。基于这个原因，早晨起来的时候超人说要立项，我就像到了这个。

今天我和老四去立项报告。老师问做这个session漏洞分析的意义和可行性。

当时我和老四就像去做个分析，然后弄个报告。老师说要实践，就是说要有code。

按照我们这个思路，要通过匹配库自动匹配session漏洞。晕。web应用不同，就算漏洞性质一样，要是让程序自动可以分析，并找到攻击入口点，还是很困的的事情。

现在做这个真不是我想的。。。

今天上网无疑看到一篇NOKIA BUG的文章。

BUG如下：

比如电话簿里已经存储了  张三  130********

那么，你用手机直接输入 abc********    (abc为任意3位数字)，那么手机将显示名字为张三

也就是说，NOKIA是已用后8位来匹配电话簿对应的名称的。实际拨出的号码还是为abc********

做个实验：拨打你朋友的电话

假如你朋友电话是130********(你朋友电话已经存在你手机上了的) 你拨打888********，将显示你朋友的名称。

我想BUG会有的，只是避免，再避免。