这是我针对 Typecho 漏洞的一些回复

2017-10-27 13:08:36 +08:00
 joyqi
https://joyqi.com/typecho/about-typecho-20171027.html

希望大家理性去分析技术问题。原文一句细思极恐,桃李不言,下自成蹊
5776 次点击
所在节点    分享发现
28 条回复
towser
2017-10-27 13:23:36 +08:00
基本算是有理有据,令人信服。
AsherG
2017-10-27 13:27:46 +08:00
看一下其他各位大佬怎么说
Sanko
2017-10-27 13:30:58 +08:00
支持作者
jamfer
2017-10-27 13:34:14 +08:00
支持一下,赞同作者的观点,带节奏搞内斗实在没必要,国内做这个的本来就不多。
LittleYangYang
2017-10-27 13:39:53 +08:00
支持一下作者!
qqjt
2017-10-27 13:52:44 +08:00
发现一个漏洞,提 issue 啊,总想搞个大新闻
airyland
2017-10-27 13:59:47 +08:00
那个文章真是在不了解上下文的情况下恶意揣测
wpby
2017-10-27 14:10:54 +08:00
支持一下~并没有看懂如何攻击
changwei
2017-10-27 14:18:04 +08:00
支持 70 大大
16500682
2017-10-27 14:18:44 +08:00
新的正式版,会在本周放出。
ipeony
2017-10-27 14:22:01 +08:00
支持作者
hicdn
2017-10-27 14:24:01 +08:00
有理有据,解释的很清楚。开发和安全站在各自的角度对问题的理解不一样。
shuimugan
2017-10-27 14:40:10 +08:00
漏洞是漏洞,后门是后门,是两回事
作者编码思路都解释得一清二楚,有理有据,令人信服
安全界总有一批人想搞个大新闻,之前的 Node.js 反序列化漏洞可远程执行代码 也是这样
VicYu
2017-10-27 14:41:04 +08:00
支持
noNOno
2017-10-27 14:53:53 +08:00
支持作者.
killerv
2017-10-27 15:14:55 +08:00
漏洞和后门这两个词的意思相差很大
ryd994
2017-10-27 15:30:24 +08:00
当这一步做完验证后,并写入相应信息后(也有可能不写入,比如 GAE 之类的容器环境,根本没有可写的环境),再 Location 跳转到下一步,也就是去写入初始数据。
我觉得这里做的不太好,能不能一步做好呢?
验证信息可以 ajax,表单太长可以分 tab,还可以利用浏览器 localstorage 临时保存填写进度
如果一步走完的话,这个问题是完全可以避免的
换句话说,能不能只用一个 POST 做?
Alwaysonline
2017-10-27 15:30:59 +08:00
算 Bug 吧 通常各类程序安装完后,会提示去删除 install 文件夹和文件。

可以考虑来个提示。
evlos
2017-10-27 15:31:07 +08:00
这些人啊,总想搞个大新闻

微信文章备份 https://archive.is/M5Ckx
Lyvnee
2017-10-27 15:35:29 +08:00
作为 typecho 的使用者,感谢作者及时做出说明。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/401202

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX