这是我针对 Typecho 漏洞的一些回复

基本算是有理有据，令人信服。

看一下其他各位大佬怎么说

支持作者

支持一下，赞同作者的观点，带节奏搞内斗实在没必要，国内做这个的本来就不多。

支持一下作者！

发现一个漏洞，提 issue 啊，总想搞个大新闻

那个文章真是在不了解上下文的情况下恶意揣测

支持一下~并没有看懂如何攻击

支持 70 大大

新的正式版，会在本周放出。

支持作者

有理有据，解释的很清楚。开发和安全站在各自的角度对问题的理解不一样。

漏洞是漏洞,后门是后门,是两回事
作者编码思路都解释得一清二楚,有理有据,令人信服
安全界总有一批人想搞个大新闻,之前的 Node.js 反序列化漏洞可远程执行代码 也是这样

支持

支持作者.

漏洞和后门这两个词的意思相差很大

当这一步做完验证后，并写入相应信息后（也有可能不写入，比如 GAE 之类的容器环境，根本没有可写的环境），再 Location 跳转到下一步，也就是去写入初始数据。
我觉得这里做的不太好，能不能一步做好呢？
验证信息可以 ajax，表单太长可以分 tab，还可以利用浏览器 localstorage 临时保存填写进度
如果一步走完的话，这个问题是完全可以避免的
换句话说，能不能只用一个 POST 做？

算 Bug 吧 通常各类程序安装完后，会提示去删除 install 文件夹和文件。

可以考虑来个提示。

这些人啊，总想搞个大新闻

微信文章备份 https://archive.is/M5Ckx

作为 typecho 的使用者，感谢作者及时做出说明。