בפורטל דרושים (Drushim.co.il) מאפשרים להירשם באמצעות האיימיל ולקבל לתיבה כל יום הודעות עם הצעות עבודה, במייל שמתקבל, יש קישור לעריכת העדפות אישיות (מיקום, סוג עבודה וכו') – הבעיה – הכתובת לא מוגנת באמצעות אסימון ולכן – כל אחד יכול לראות את ההעדפות של כל אחד, ואף לשנותם.
צירפתי צילום מסך (הפרטים מטושטשים):
מי מכם שמעוניין לחקור לעומק, הנה הכתובת:
http://www.drushim.co.il/smartalerts.aspx?arid=xxxxx
במקום האיקסים – הציבו מספר בין 6 ספרות.
איך פותרים את התקלה הזו? באמצעות אסימון,
אפשר לקחת את כתובת המייל של המשתמש, יחד עם תאריך ההרשמה של המשתמש לבצע hash md5 ולהוסיף ל-URL. ללא אסימון או עם אסימון שגוי תתקבל הודעת שגיאה.
עדכון: מיד לאחר פירסום הפוסט, פניתי לירון כהן מ-Drushim.co.il, סיפרתי לו על הפרצה והוא ביקש ממני להוריד את הפוסט עד אשר היא תתוקן, הפרצה תוקנה במהירות ועל כן, כל הכבוד!