微软必应搜索爆出漏洞 不购物也可领取返现款
据国外媒体报道,微软必应搜索引擎有一个购物返现的促销计划,不过日前业界人士发现一个漏洞,通过对交易网址进行修改,网民甚至是不购物也可以获得微软的返现金额。漏洞公布让微软十分愤怒,进而将公开人的返现帐号删除,并要求此人立刻封口。网民在进行商品搜索时,如果有相应的零售商参加了微软的返现计划(Cashback Programme),则微软将会在搜索结果顶部显示出相关链接,如果完成了购买交易,微软将返还给消费者一定的现金。微软此举旨在推广自己作为必应特色的商品搜索。
不过,一名业界人士发现了技术漏洞,此人是比较购物网站Bountii.com的创始人萨米尔·梅格哈尼(Samire Meghani),几天前,他在博客上发表文章,公开了漏洞。
梅格哈尼说,网民购买商品结束时,需要由一个网页反馈给必应搜索这一信息,然而通过修改网址,可以将虚假的购物交易向必应报告为真实交易。这意味着,网络高手可以在不买任何东西的条件下,获得微软的返款。
梅格哈尼表示,迄今为止微软似乎尚未发现这个漏洞,而他的返现帐户中也“拥有了”2080美元。对于修改网址的技术细节,他没有披露,只是说并不复杂。
梅格哈尼的举动让微软十分恼怒,其律师向他发出一封律师函,要求他立刻停止公布漏洞的行为。其中表示,微软认为他的举动给其他违反计算机法律的行为提供了指导。此后,梅格哈尼删除了博客文章,但是具有讽刺意味的是,在必应搜索的网页缓存中,仍可以看到这篇文章。微软还关闭了梅格哈尼的返现帐号。
在之后的文章中,梅格哈尼强调自己并没有欺诈微软公司的意图,只不过是公开微软在技术部署上的一个漏洞,而微软通过各种手段叫他封口的回应令他吃惊。 微软越来越不厚道了,这样以后谁还给他透露漏洞? 在国内没有这么好的事情把 .........URL传参数.............还传重要属性,简直是过分,重要的属性要用request全局传,session做主线才对,以前QQ就有URL传参的习惯现在都改了,能用ajax的都改内部去了,URL上只能看到初始地址 国内估计就要被抓了
页:
[1]