V2EX › M4ster 的所有回复 › 第 9 页 / 共 10 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10

❮

❯

2015-08-31 22:45:57 +08:00

回复了 mikezhang 创建的主题 › Python › PyConChina2015 大会即将开幕！早鸟票余量不多~

早鸟票卖完了 😳

2015-08-31 09:59:57 +08:00

回复了 wsph123 创建的主题 › 分享创造 › 易网页 - 中文的超文本标记语言 - 雏形 (ᴑ̨̨̍̆͞͡ ͦ̆ ॑ᵓ̩̗̍

那怎么和歪果仁交流呢？

2015-08-21 13:06:31 +08:00

回复了 UPYUN 创建的主题 › 推广 › [七夕] 遭虐的日子，咱们来谈谈理想

雨天 blue

// WTF?

2015-08-05 13:05:23 +08:00

回复了 cqcn1991 创建的主题 › 问与答 › 怎么验证注册用户为在校生？

楼上说使用 edu 邮箱作为验证用户是否是学生身份的都是在扯淡。
以 edu.cn 作为查询条件，去泄露出来的数据库（社工库）里一查就有一大堆 ಥ_ಥ
http://ww2.sinaimg.cn/mw690/eacb960fgw1eurnksshnaj20c00ghdj5.jpg

2015-06-24 11:42:50 +08:00

回复了 ong 创建的主题 › 站长 › 站点被恐吓了

楼主网站多少，没证据有啥好说。
另外楼上一群毫无缘由的瞎起啥哄啊。

2015-06-21 10:57:39 +08:00

回复了 b244183 创建的主题 › 程序员 › OS X 下有什么好用的开源的密码管理软件吗？

flowerpassword

2015-06-10 16:51:01 +08:00

回复了 zmq175 创建的主题 › NGINX › 反代 dmm 变成直接跳转到 dmm.com 了，不知道为什么

防止别人反代你网站最简单的方法，到JS里写句判断：
if(document.domain != 'www.dmm.com') location.href='http://www.dmm.com/';
楼主慢慢找把：）

2015-03-17 20:46:49 +08:00

回复了 raysmond 创建的主题 › 程序员 › 用 Angularjs 重构了整个 Raysnote 笔记本前端， v2.0 上线

存在几处问题，给出几点建议。

几处漏洞：
后台笔记本名处依然存在XSS（但似乎只是self-xss）；
网络文章管理处存在SSRF（探测服务器内网，如：“http://localhost/”、“http://192.168.1.1”）；
删除文章的时候并没有验证用户权限，可以越权删除别人的文章（只需文章的ID）；

危险一点的地方：
笔记的ID可以通过referer被别有用心的人获取到。（引用外站图片时，被引用服务器可以记录到referer，referer中含有笔记ID信息）；
获取到了笔记的ID后，可以拼凑URL直接访问文章内容。这样一来无论是私有还是公开的笔记都是可以被获取到；
可以通过获取到的笔记ID执行上述删除操作。

2015-02-18 19:05:01 +08:00

回复了 picasso250 创建的主题 › 分享创造 › show V2EX: 弹幕春晚 http://avdanmu.duapp.com/

@picasso250 http://avdanmu.duapp.com/av/33 弹了、弹了，又弹了！

2015-02-18 12:49:59 +08:00

回复了 picasso250 创建的主题 › 分享创造 › show V2EX: 弹幕春晚 http://avdanmu.duapp.com/

@picasso250 http://avdanmu.duapp.com/av/32 这也弹了

2015-02-18 12:26:11 +08:00

回复了 picasso250 创建的主题 › 分享创造 › show V2EX: 弹幕春晚 http://avdanmu.duapp.com/

@picasso250 http://avdanmu.duapp.com/av/33 弹弹弹，弹走鱼尾纹:-D

2015-01-26 13:55:19 +08:00

回复了 coolicer 创建的主题 › 奇思妙想 › 搞一个证件中心，把你所有证件资料都管理起来

被黑了就呵呵了 :-D