本站发帖似乎没有验证码等人机验证机制……
也就是说只要有人闲的没事干就可以发 inf 个带图片的帖子然后炸掉这个站。
对本站的一点建议
还有就是能不能支持 Markdown / KaTeX 格式发帖啊喂……
正在使用 Charles 抓包……
不是哥们,你登陆密码直接明文传上去了?不在本地 MD5 或者 SHA256 一下?
测试图片上传
哥你图片上传只要 _csrf 就能传???不加验证码???
还有发帖也只要 _csrf???吓哭了
自动审核吓哭了
这就是对用户隐私的保护吗
AI 后端和前端都永远代替不了人类
能不能快点把安保补上谢谢
哦我的问题我的 Charles 有 SSL 证书,HTTPS 下明文确实问题不大
但是如果你数据库被搞了那么问题还是很大的,因为你接受和存储的是明文
数据库就别用AI了吧,你这种小网站用个mongodb就够了,而且SHA256并不难手写吧
回复 @BBztk
不是谁家好人数据库用 A.I. 啊
你开了吗你为什么要在你的主页 HTML 12:1 写这么一个东西
/* 鲁巴校园论坛 — 视觉与动效(由 views/layout.php 读入并内联到 <style>,主副本位于运行目录 public 下,适配宝塔 open_basedir) */
/* 鲁巴校园论坛 — 视觉与动效(由 views/layout.php 读入并内联到 <style>,主副本位于运行目录 public 下,适配宝塔 open_basedir) */
回复 @Hootime
到底是为什么呢???
回复 @BBztk
好难猜啊
回复 @BBztk
竟然把环境全部供出来了
回复 @Hootime
其实这个跟开源没什么区别了
还有正常来说 csrf 不该放在 set-cookies 里面吗,
<input type="hidden" name="_csrf" value="ee480a56a01b89984fb7ed39027cb1255603e9062e8e0cce123ff62f1d687447">
<div class="field cos-forum-upload" data-cos-upload-wrap data-cos-ready="1" data-upload-url="/index.php?r=%2Fupload%2Fcos-image" data-csrf="ee480a56a01b89984fb7ed39027cb1255603e9062e8e0cce123ff62f1d687447">
是什么鬼
<input type="hidden" name="_csrf" value="ee480a56a01b89984fb7ed39027cb1255603e9062e8e0cce123ff62f1d687447">
<div class="field cos-forum-upload" data-cos-upload-wrap data-cos-ready="1" data-upload-url="/index.php?r=%2Fupload%2Fcos-image" data-csrf="ee480a56a01b89984fb7ed39027cb1255603e9062e8e0cce123ff62f1d687447">
是什么鬼
也有可能是我孤陋寡闻了
回复 @BBztk
是这样的
回复 @BBztk
欸这里好像已经变成全站第一高楼了
回复 @Hootime
一般来说,AI不会在意你的隐私安全,除非你专门要求,更不会在意cookies
回复 @BBztk
好有道理的样子
回复 @BBztk
我觉得我们可以把站长 @ 过来了
为什么这个站的自动审核会拦截 URL,吓哭了
正确的
我甚至发个申请扔掉自动审核的都被拦截了
回复 @Hootime
貌似并没有@功能
回复 @BBztk
可以去站长的帖子下跟帖,但是我的 URL 被拦截了
我刚刚发了两个字,第一个字是“逆”,第二个字是“天”,然后被拦截了
回复 @Hootime
登录页面传密码已经加密
回复 @BBztk
逆天
回复 @Hootime
在这个神秘网站上确实可能
哦我傻逼了我的 Charles 有 SSL 证书,是 HTTPS 没有问题
这就是你们建的站,对用户的隐私就是这么保护的?
这个太慢了,还是XSS方便快捷,SQL注入对于宝塔面板貌似不太行
登录 后参与回复。