保定十大令人哭笑不得的漏洞

随着漏洞赏金金额的提高，很多靠此为生的研究者竟发现了许多所谓的漏洞，今天我们就来看看十大令人哭笑不得的漏洞。

十、并发会话过多

Gmail和Facebook会话持续了数年，你可以同时从不同的设备访问它们。如果Gmail和Facebook不想为用户提供这种便利，则可以实施会话超时，以在用户闲置五分钟后将其注销。

现在，设想一种情况，假如你需要提交汇款请求，而银行要求你填写一个包含十几个不同输入字段的在线表单。这样你就要切换到另一页以查找一些详细信息，对它们进行三次验证，然后仅检查一下Reddit（全球很受欢迎的讨论网站,它的访问量已经可以排进全球前十）。当你终决定提交表单时，会收到一条错误消息，表明你的会话不再有效。为此你必须重新填写一遍，因为你只有这样做，才能汇款。不过，这个过程会让你极为不爽。

起初，会话超时可以阻止某些XSS的利用，但是你输入密码的次数越多，就可能会增加在恶意页面上意外输入密码的机会。

九、无用的信息披露

有一些信息披露是无用的。除了牵强附会的假想场景之外，其他信息几乎毫无用处，但仍然每天都有报道，我喜欢的示例是