在这个" 多维并行fuzzing漏洞挖掘技术研究"项目的留言板块中做了个测试： 如果我没有留言，我看不到别人留言的删除按钮，这是正常情况， 但当我也留言后，留言列表刷新，这时别人留言的删除按钮出现，我就可以删除别人的留言。。 问题，应该在刷新留言的js文件中，对应的js文件名是存留言的函数名； 估计是在.html.erb中修改了删除隐藏按钮，在.js.erb中忘记做修改了。 --------------------------------------- 从这个问题可以看出我们系统应该留有一个比较大的漏洞，容易受黑客攻击； 描述如下： 别人可以通过查看一些页面猜测到系统隐藏起来的函数； 比如，删除留言的图标隐藏了，但如果我能猜对被隐藏起来的删除留言的那个访问方法就可以在页面中修改代码（chrome”审查元素“，firefox”firebug“），使之显示出来，然后删除别人留言。 还有其他地方仅仅是通过隐藏某个图标，而不是通过在controller中来做登陆人员的if匹配，都给系统留有这样一个漏洞。

当前版本：

本系统应该留有一个比较大的漏洞，容易受黑客攻击； 描述如下： 别人可以通过查看一些页面猜测到系统隐藏起来的函数； 比如，删除留言的图标隐藏了，但如果我能猜对被隐藏起来的删除留言的那个访问方法就可以在页面中修改代码（chrome”审查元素“，firefox”firebug“），使之显示出来，然后删除别人留言。 还有其他地方仅仅是通过隐藏某个图标，而不是通过在controller中来做登陆人员的if匹配，都给系统留有这样一个漏洞。 *************************** 举个例子 用户主页留言板块： 当我对于自己的留言时，我可以看到删除图标，对别人的看不到； 但是，我可以通过修改页面时在别人的留言后面加上这个删除图标， 此时我点击删除图标，那么就可以删除这个人的留言了； 另外tag的”新增“图标也是此种实现方式， 系统中还有其他地方应该也是只做图标隐藏，没更改后台代码；