V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
joyqi
V2EX  ›  分享发现

这是我针对 Typecho 漏洞的一些回复

  •  9
     
  •   joyqi · 2017-10-27 13:08:36 +08:00 · 5788 次点击
    这是一个创建于 2585 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://joyqi.com/typecho/about-typecho-20171027.html

    希望大家理性去分析技术问题。原文一句细思极恐,桃李不言,下自成蹊
    第 1 条附言  ·  2017-10-27 17:14:03 +08:00
    已经跟漏洞的相关方讨论过这个事情,大家的初心还都是技术层面的交流,之前在流程上由于沟通不畅造成了一些误解,现在误解已经消除,大家也不要恶意去揣测他人的意图,让我们把焦点放在技术本身。我们也一致表达了在安全层面加强合作的意向。
    28 条回复    2017-11-02 12:26:27 +08:00
    towser
        1
    towser  
       2017-10-27 13:23:36 +08:00
    基本算是有理有据,令人信服。
    AsherG
        2
    AsherG  
       2017-10-27 13:27:46 +08:00
    看一下其他各位大佬怎么说
    Sanko
        3
    Sanko  
       2017-10-27 13:30:58 +08:00 via Android
    支持作者
    jamfer
        4
    jamfer  
       2017-10-27 13:34:14 +08:00 via iPhone
    支持一下,赞同作者的观点,带节奏搞内斗实在没必要,国内做这个的本来就不多。
    LittleYangYang
        5
    LittleYangYang  
       2017-10-27 13:39:53 +08:00
    支持一下作者!
    qqjt
        6
    qqjt  
       2017-10-27 13:52:44 +08:00   ❤️ 3
    发现一个漏洞,提 issue 啊,总想搞个大新闻
    airyland
        7
    airyland  
       2017-10-27 13:59:47 +08:00
    那个文章真是在不了解上下文的情况下恶意揣测
    wpby
        8
    wpby  
       2017-10-27 14:10:54 +08:00
    支持一下~并没有看懂如何攻击
    changwei
        9
    changwei  
       2017-10-27 14:18:04 +08:00 via Android
    支持 70 大大
    16500682
        10
    16500682  
       2017-10-27 14:18:44 +08:00 via Android
    新的正式版,会在本周放出。
    ipeony
        11
    ipeony  
       2017-10-27 14:22:01 +08:00
    支持作者
    hicdn
        12
    hicdn  
       2017-10-27 14:24:01 +08:00
    有理有据,解释的很清楚。开发和安全站在各自的角度对问题的理解不一样。
    shuimugan
        13
    shuimugan  
       2017-10-27 14:40:10 +08:00
    漏洞是漏洞,后门是后门,是两回事
    作者编码思路都解释得一清二楚,有理有据,令人信服
    安全界总有一批人想搞个大新闻,之前的 Node.js 反序列化漏洞可远程执行代码 也是这样
    VicYu
        14
    VicYu  
       2017-10-27 14:41:04 +08:00
    支持
    noNOno
        15
    noNOno  
       2017-10-27 14:53:53 +08:00
    支持作者.
    killerv
        16
    killerv  
       2017-10-27 15:14:55 +08:00
    漏洞和后门这两个词的意思相差很大
    ryd994
        17
    ryd994  
       2017-10-27 15:30:24 +08:00 via Android
    当这一步做完验证后,并写入相应信息后(也有可能不写入,比如 GAE 之类的容器环境,根本没有可写的环境),再 Location 跳转到下一步,也就是去写入初始数据。
    我觉得这里做的不太好,能不能一步做好呢?
    验证信息可以 ajax,表单太长可以分 tab,还可以利用浏览器 localstorage 临时保存填写进度
    如果一步走完的话,这个问题是完全可以避免的
    换句话说,能不能只用一个 POST 做?
    Alwaysonline
        18
    Alwaysonline  
       2017-10-27 15:30:59 +08:00
    算 Bug 吧 通常各类程序安装完后,会提示去删除 install 文件夹和文件。

    可以考虑来个提示。
    evlos
        19
    evlos  
       2017-10-27 15:31:07 +08:00 via iPhone
    这些人啊,总想搞个大新闻

    微信文章备份 https://archive.is/M5Ckx
    Lyvnee
        20
    Lyvnee  
       2017-10-27 15:35:29 +08:00 via Android
    作为 typecho 的使用者,感谢作者及时做出说明。
    wildcat007
        21
    wildcat007  
       2017-10-27 18:45:51 +08:00
    typecho 很好用啊~支持作者
    wildcat007
        22
    wildcat007  
       2017-10-27 18:46:22 +08:00
    作者在 v2,以后可以多骚扰一下了
    iFlicker
        23
    iFlicker  
       2017-10-27 19:48:51 +08:00
    有生之年终于看到新的正式版了 0.0
    IMRES
        24
    IMRES  
       2017-10-27 20:18:01 +08:00 via iPhone
    支持
    jasontse
        25
    jasontse  
       2017-10-27 21:03:34 +08:00 via iPad
    typecho 都要更新了,柯南大结局还会远吗
    mingyun
        26
    mingyun  
       2017-10-27 23:00:18 +08:00
    enlau0912
        27
    enlau0912  
       2017-11-01 01:24:30 +08:00
    支持作者。總有些人想用負面新聞增加自己的流量。
    wujunze
        28
    wujunze  
       2017-11-02 12:26:27 +08:00
    我的博客 typecho 根目录出现 两个小马 shaoyu.php google.php
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2779 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:51 · PVG 17:51 · LAX 01:51 · JFK 04:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.