V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  debugfor  ›  全部回复第 3 页 / 共 5 页
回复总数  91
1  2  3  4  5  
2014-05-05 22:41:00 +08:00
回复了 tanlianming 创建的主题 问与答 你为什么不注册内淘网?
@tanlianming 不经常使用QQ,有问题的话可以直接邮件给我
问题还有,没有仔细看,有时间的话,我再仔细研究下
举个例子,一个很严重的问题,存在泄露用户邮件地址的情况(或者说对于某些ajax请求提供的数据过多)

1、GET请求 用户信息页面,点击 此人(Ta的关注)
以此为例,http://www.neitao.me/User/profile.aspx?UserId=1

2、发现有个GET请求很可疑
http://www.neitao.me/_ashx/GetAttentionUserListByUserId.ashx?UserId=1&s=20&p=1&dt=1399299636750

3、响应数据居然公开了用户的完整邮件地址,如下
{"Lists":[{"UserId":"15","Portrait":"/UploadFile//UserFiles/1/15/avatar/20140304113241z3v1lqvb_thumbnail.jpg","NickName":"puyuzi","UserEmail":"完整址址@staff.tianya.cn","CompanyName":"天涯社区","Position":"产品锦鲤","FansCount":"10","FocusCompanyCount":"6","FocusThemeCount":"2","FocusUserCount":"18","CreateTime":"2014/3/4 13:26:37"},{"UserId":"2","Portrait":"/UploadFile//UserFiles/1/2/avatar/20140311213958oppw521s_thumbnail.jpg","NickName":"冲冲","UserEmail":"完整址址@neitao.me","CompanyName":"内淘网","Position":"","FansCount":"7","FocusCompanyCount":"4","FocusThemeCount":"0","FocusUserCount":"10","CreateTime":"2014/3/4 11:25:20"}],"counts":"2"}
(其中真实的地址用“完整地址”汉字替代了)

4、查看了下代码,是通过js拼接的html,里面仅仅只用到了头像地址、昵称和uid,而响应的请求中却包含了诸多信息,这些信息对与此功能完全用不到
for (var i = 0, len = list.length; i < len; i++) {
if (list[i].UserId == myid) {
} else {
_upic = "";
_upic = list[i].Portrait != null ? list[i].Portrait.replace("_thumbnail", "_bmiddle") : "";
_Html += '<li><a href="/User/profile.aspx?UserId=' + list[i].UserId + '">';
_Html += '<img src="' + _upic + '" /></a>';
_Html += '<a href="/User/profile.aspx?UserId=' + list[i].UserId + '">' + list[i].NickName + '</a>';
_Html += '</li>';
  }
}


建议:楼主的站,ajax请求居多,建议按需提供,对于ajax请求进行排查,在响应前过滤掉敏感和不需要的信息,这是一个例子,其他地方还有,你们自己查下吧
上次说的,后端一定也要进行参数类型和完整性验证,不知道是否改善
2014-05-05 19:35:42 +08:00
回复了 tanlianming 创建的主题 问与答 你为什么不注册内淘网?
反馈的几个漏洞,补得太慢,安全性考虑的不好,存在很多问题……
2014-04-29 08:10:39 +08:00
回复了 Dynamicer 创建的主题 问与答 用作减脂,骑行/跑步选哪个?
跳绳
2014-03-26 09:09:59 +08:00
回复了 tension 创建的主题 分享发现 国美的虚拟运营商,域名已注册,发现亮点
目测是java apache tomcat
2014-03-25 19:47:49 +08:00
回复了 zhy0216 创建的主题 问与答 你在百度搜索一下百度试试。。。 ^_^
@zhy0216 那是用百度搜索360.....
2014-03-24 08:57:28 +08:00
回复了 debugfor 创建的主题 问与答 v2 们,推荐个适合小团队使用的即时沟通软件
@rannnn 大家不在一块,喊这招因为声音传不了那么远,不可行
2014-03-19 22:58:33 +08:00
回复了 Mihuwa 创建的主题 V2EX 登录还是登入?强迫症
有个相关的小问题,我登录成功了,打开 http://www.v2ex.com/signin
上面显示用户名,导航菜单,下面是登录入口,感觉好奇怪
@Livid
@jianghu52 没有,vps主要是linux环境,呵呵
linux&windows server
软件就太多了,主攻web,超大号的IDE 如vs也用
就是文档比较多,目前是私有git做代码托管
@yangqi
GET http://www.neitao.me/Common/[email protected]&nick=www&id=4
这个漏洞足以让你的邮件发信域进入黑名单

附:邮件内容
亲爱的,欢迎你加入内淘。
请点击下面的链接激活您的内淘账号。
==++++一串链接地址++++===
内淘 – 一起去各大公司内网淘宝。

安全不容忽视,尽快排查修改程序,不然很严重的,这都17个小时过去了......
@tanlianming 漏洞还没补上啊,我邮箱里面诸多邮件.......
@tanlianming 建议安全方面加强点,存在诸多漏洞,参数在后端也需要加强验证类型和长度,加一些限制措施

POST http://www.neitao.me/Common/RegisterAcc.ashx
BPEmail=1234567890&[email protected]&uname=123456789123456789123456789&PwdMD5=uuu&domainval=3
只要保证domain 和domainval一致,其他可以随便输入
注册成功后会返回 用户id
{result:66}

js中有
if (byteWordCount(u_nickname) > 20) {
result = false;
errMsg = "昵称不能超过20字符";
showMsgTip(errMsg);
return result;
}

GET http://www.neitao.me/user/profile.aspx?userid=66
即可访问未经过验证的用户,看看用uname户名超过20个字符了


上诉表明,后端没有进行数据验证,只是简单的进行了js验证,另外,楼主的限制措施几乎没有,需要增加。
如果这个平台想长期发展还是放弃.net 吧,成本会越来越高
至于SQL注射,这个根本不敢玩,怕把楼主的新站玩坏了.....
继续努力吧!
@tanlianming 赶快解决吧,我的邮箱估计都能收爆了
@tanlianming 无意中发现这个问题
不登录或者注册即可发激活邮件
GET请求如下地址:
http://www.neitao.me/Common/[email protected]&nick=www&id=4
任意email nick id(合法id 就行 随便找个有效用户id就可以)
其他 还在继续找....
@tanlianming asp.net 做的站,IIS 7.5 没有自定义404页面
输入参数验证不完善
http://www.neitao.me/Company/Details.aspx?CompanyId=v2ex 随便改下 就报运行时错误
等等吧....
2014-02-27 22:34:48 +08:00
回复了 sutar 创建的主题 Atom 继续散 Atom 邀请码
2014-02-27 22:25:52 +08:00
回复了 finian 创建的主题 Atom 散三枚 Atom Editor 邀请码
debugfor#126.com 谢谢
2014-02-25 20:58:16 +08:00
回复了 228297832 创建的主题 VPS 免费申请香港 host,先到先得!
说下配置
2014-02-25 17:17:37 +08:00
回复了 hustlzp 创建的主题 云计算 请教阿里云 OSS 使用方法
又拍云 或者 七牛
1  2  3  4  5  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1024 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 19:21 · PVG 03:21 · LAX 12:21 · JFK 15:21
Developed with CodeLauncher
♥ Do have faith in what you're doing.