因为前段时间关注推荐礼物的平台, 看到了[礼物说]这个产品, 然后... 这是没有给程序员发工资吗?

2019-05-28 20:30:51 +08:00

mldie

贴几个链接:

https://www.liwushuo.com/posts/362

https://www.liwushuo.com/posts/1001241

https://www.liwushuo.com/posts/1001185

各种 alert

3748 次点击

所在节点

程序员

22 条回复

ypzhou

2019-05-28 21:34:25 +08:00

明显的 xss 啊这种安全问题还是挺大的

EscYezi

2019-05-29 01:18:20 +08:00

好像已经修复了

dingyx99

2019-05-29 08:02:44 +08:00

@EscYezi 并未修复，成功复现。

qinxg

2019-05-29 08:30:09 +08:00

https://www.liwushuo.com/api/posts/362/comments?limit=10&offset=0
lz 看这个返回第一个结果就是

looking0truth

2019-05-29 09:03:57 +08:00

这个 xss 牛批了实习生吗

michealzh

2019-05-29 09:10:56 +08:00

xss 还没修复

doomty

2019-05-29 09:11:53 +08:00

这也太秀了

Desiree

2019-05-29 09:12:21 +08:00

过去多久了啊，还没修复吗

wcj2020

2019-05-29 09:22:48 +08:00

之前百度的商家号也好多这种漏洞然后缝缝补补就安全了。。。

anyforever

2019-05-29 09:34:44 +08:00

程序员要祭天了，哈哈

Constellation39

2019-05-29 09:39:56 +08:00

天秀

hlwjia

2019-05-29 09:48:18 +08:00

都不知道这些拿了那么多融资的公司是怎么搞的。

这种简单过滤一下就好的事情都不知道做

fe619742721

2019-05-29 09:54:16 +08:00

toC 的网站还是轻松点，我们公司 toB 的产品卖出去就天天被客户找安全公司扫，一个安全警告能连续邮件催命。。

pynix

2019-05-29 09:57:33 +08:00

xxs

pynix

2019-05-29 09:57:50 +08:00

xss

wanacry

2019-05-29 10:08:59 +08:00

还没修复

dongcxcx

2019-05-29 10:17:19 +08:00

@fe619742721 扫是啥意思？扫你网站漏洞？

fe619742721

2019-05-29 10:28:30 +08:00

@dongcxcx 是啊，扫出来结果就发邮件催我们改，等于客户花钱找安全公司给我们审查把关哈哈

richzhu

2019-05-29 10:40:52 +08:00

有没有大神分享一下，这种漏洞如何利用的，只能看到效果不爽啊~~ 想实操一下

Nbsaw

2019-05-29 12:02:52 +08:00

你这个 bug 层次未免也太低了嗲

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/568530

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.