作者:晦涩的爱情嵌 | 来源:互联网 | 2023-08-04 21:22
有个人自己做了个面试网站论坛,能注册登录发帖回复点赞,然后被网友们集体使用智慧手段给测试了.他做了个视频来公布,还是蛮搞笑的.地址: https:www.mianshiya.com
有个人自己做了个面试网站论坛,能注册登录发帖回复点赞,然后被网友们集体使用智慧手段给"测试"了.他做了个视频来公布,还是蛮搞笑的.
地址: https://www.mianshiya.com/
1.首先是他发现了一个注入,数据量达到6M无法加载下一页,听到这里我以为是什么注入script或者评论的数据太大导致无法加载,后来他看了看才发现,是有个人把自己的昵称改为了 toolongtoolongtoolongtoolongtoolongtoolongtoolongtoolongtoolongtoolongtoolong***
就这个昵称达到3.4M的长度,然后他又回复了自己,就出现了大于6M的数据,然后就加载失败了.
分析:这么看,其实是他偷懒没设置昵称长度限制,后台没校验,或者说数据库里面也没设置字段长度限制.这个一般不大会出现,作者也承认自己偷懒了.
2.然后是他这个回复什么的如果是自己的回复是可以删除的,但是他发现有个回复自己删不掉,查了一下才发现是那个人把自己的昵称和头像弄得和管理员一模一样,导致他误认为是自己的回复了.
分析: 这个问题可以采取使用昵称检查限制来避免,或者借鉴微博的那种加认证V来避免,因为管理员肯定要显示一个不一样的图标出来,进行区分.
3.有人给他截图一个DDOS攻击,然后他一看,嘿,攻击地址写错了,攻击歪了!哈哈哈
他应该还有蛮多这种系列的东西,挺搞笑的,也挺好玩,玩中带学,不错不错!