Un cliente ha trovato una dozzina di URL validi che puntavano ai documenti relativi ai clienti esistenti su Yahoo. Questi URL non erano pubblici e certamente non ricercabili sul sito del cliente. I documenti hanno difficoltà a indovinare nomi come https://site/dir/hardtoguessname.pdf
; secondo il sequenziatore di Burp, l'entropia di hardtoguessname
è stimata essere superiore a 100 bit, che dovrebbe essere abbastanza buona da impedire semplici congetture.
L'intera faccenda è strana per due motivi: in primo luogo, ci sono regolarmente centinaia o migliaia di questi documenti - perché dove solo quei pochi indicizzati? In secondo luogo, questi URL sono stati indicizzati solo da Yahoo ma né da Google né da Bing.
Non penso che quegli URL siano stati indicizzati dalla normale scansione. È possibile che un utente possa per caso aver indicizzato tali URL, ad esempio, utilizzando la barra degli strumenti di Yahoo o utilizzando la posta di Yahoo?