首页   注册   登录
 rustkeyboard 最近的时间轴更新

rustkeyboard

V2EX 第 262260 号会员,加入于 2017-10-25 11:19:39 +08:00
A crazy programmer.
站点被 CC 攻击了,怎么解?
程序员  •  rustkeyboard  •  2018-08-03 21:25:08 PM  •  最后回复来自 janusec
26
鹅厂能不能出个 Linux 版本的 qq
程序员  •  rustkeyboard  •  19 天前  •  最后回复来自 zts1993
184
什么时候能开放上传图片的功能?
程序员  •  rustkeyboard  •  2018-01-27 19:17:08 PM  •  最后回复来自 itxdl
19
emlog 怎么回事???
问与答  •  rustkeyboard  •  2017-12-14 20:29:53 PM  •  最后回复来自 loading
2
rustkeyboard 最近回复了
@markgor,感谢反馈,已修复。
@markgor , 这个无需争论,你可以试试通过 api 删除列表里面的第一个项,"大话星程"那本书,你能删掉里面的子节点(书里面的具体章节)或者直接把整本书都删了,再说。
不好意思,刚刚回复的这一条,有个地方输错了,
登录 ID 固定为 12, 实际上$pids 的值是",12,"
@markgor,你确定这里有问题? prid 可以伪造,但是$prids 是登录之后是由后端查询数据库自动保存在 session 中的。
再回来讲一下你说的可能存在的问题(24L),
"那麼假設登錄 ID 固定為 12,當我需要改用戶 ID 為 13 的文章,
我只需要提交 prid=1 或者 2 那樣我就能繞過去了."
登录 ID 固定为 12,实际上$prids 的值是",12,", 此时你提交 prid=1,在 strpos 里面由于前后被自动拼接了逗号,会变成",1,",显然 strpos(",12,", ",1,") === false 是成立的。没绕过去吧?你觉得你要怎样才能绕过去呢?提交 12 对吧,如果提交 12,确实是绕过去了,但是这种情况和你登录之后在后台进行操作没有区别,程序认为你有权限操作自己的项目和文章,请问有什么问题?
@falcon05,idoc 现在像是个初生的婴儿,由于没有框架的防护机制,难免会存在一些问题。有漏洞是正常的,想办法找出漏洞并解决它才是重点。
@markgor,已修复。
@dafengchui , 左侧导航这个需求,可以考虑将来站点功能完善了之后,采用更换模板的问题来解决。已经加在需求列表中,等前面主要的功能都完成,就会添加,感谢关注, ^_^。
@markgor,这里确实有点问题,刚刚已经修复了。
35 天前
回复了 jorneyr 创建的主题 程序员 大家推荐一个公司用的文档管理系统
@markgor , 感谢关注和反馈。 @anyc007 , @cydian,xss 注入问题和权限问题都已经初步解决。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1045 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 19ms · UTC 18:57 · PVG 02:57 · LAX 10:57 · JFK 13:57
♥ Do have faith in what you're doing.