「小清新」匿名揭示版 http://papapa.ga 二次元众

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

爱意满满的作品展示区。

这是一个创建于 4083 天前的主题，其中的信息可能已经有所发展或是发生改变。

没啥技术含量的东西，类似于秘密之类的应用吧。
后续可能会加上回复，点赞之类的功能。
不会后台跟数据库好痛苦，现在实现靠的是读写txt（捂脸

希望玩的愉快，啪啪啪啪啪……

第 1 条附言 2014-08-11 23:31:24 +08:00

v2竟然有回复限制，得CD半个小时。。。

@izoabr 明天开始做后台，txt手动删帖不能更好玩了(∪*)ノ〃

@ss098 空间连接数太少，一挤就爆(*ω·)

第 2 条附言 2014-08-12 11:12:28 +08:00

[注意]

测试地址：http://papapap.ga/xss

想要测试XSS的同学，请到 http://papapap.ga/xss 进行

请勿到主页提交，以免影响网站正常运作，谢谢！

勿大量提交，勿压力测试，小空间一摸就爆，谢谢合作！

小清新

数据库

啪啪

76 条回复 2014-08-30 16:46:23 +08:00

est

2014-08-11 22:55:03 +08:00

没法点进去的么？

jkjoke

2014-08-11 22:56:36 +08:00

@est 嗯，现在只有最简洁留言功能

jkjoke

2014-08-11 23:06:10 +08:00

竟然有人在发1024.。。。。。。

jkjoke

2014-08-11 23:09:01 +08:00

忘了说papapa是兼容手机屏幕的，把浏览器宽度拉小到一定程度即可看到效果()

ss098

2014-08-11 23:19:44 +08:00

妹纸我们可以深交吗

jkjoke

2014-08-11 23:20:56 +08:00

@ss098 这么小清新的妹纸你敢要吗？

ss098

2014-08-11 23:21:45 +08:00

@jkjoke 为什么不敢要

izoabr

2014-08-11 23:21:57 +08:00

把代码贡献出来吧，没准能帮你改改后台呢

jkjoke

2014-08-11 23:23:51 +08:00

@izoabr QAQ 根本就没后台。。。只有两个php

darksheen

2014-08-11 23:25:01 +08:00

把logo的url贴进去，结果Service Unavailable了 = =

izoabr

2014-08-11 23:25:01 +08:00

@jkjoke SQL了解，然后insert语句都不会啊？不至于吧？首页用select怎么也比fopen简单吧？

ss098

2014-08-11 23:26:26 +08:00

Service Unavailable 了

kslr

2014-08-11 23:27:37 +08:00

妹纸我们可以深交吗

开源代码/可以帮你改进哦

kslr

2014-08-11 23:28:06 +08:00

比较感兴趣

jings

2014-08-11 23:40:38 +08:00

http://xxx.png?n*.png 直接给高挂了 @Livid v2会不会也有这情况？

kmvan

2014-08-12 00:02:27 +08:00 via Android

居然不是ajax提交！！
以前我也弄过撕裂重罪的聊天室，用的也是txt数据库，人一多就容易死

Lyleaks

2014-08-12 00:33:12 +08:00

@jkjoke 弹弹弹

jkjoke

2014-08-12 00:35:40 +08:00

@Lyleaks 感谢。。。又修了一处。()

KyoHiroki

2014-08-12 00:39:55 +08:00

你们哪里看出来LZ是妹纸了？

Lyleaks

2014-08-12 00:47:38 +08:00

@jkjoke 只过滤alert啊

jkoke

2014-08-12 00:56:21 +08:00

@Lyleaks 还有哪些是需要过滤的。。。
@KyoHiroki 就是，哪里有妹纸了！v(ω)

RIcter

2014-08-12 00:57:34 +08:00

@jkjoke

过滤alert，绕过方式就是alealertrt
payload： http://just.a.test"Onerror="alealertrt(/ww/)"alt=".jpg

喵，抱歉啦w，那个/ww/是我弹的w

RIcter

2014-08-12 00:59:20 +08:00

@jkjoke 'onererrorror'.replace('error', '') == 'onerror'

jkjoke

2014-08-12 01:01:19 +08:00

@RIcter 学到了。。。很晚了要去睡了，明天再弄

mawing

2014-08-12 01:13:19 +08:00

这不是留言板吗。。。。匿名版得至少能分帖子交流吧

Lyleaks

2014-08-12 01:32:00 +08:00 via Android

@jkjoke 引号

wsph123

2014-08-12 01:49:13 +08:00

简直就是 http://x.mouto.org 上一个版本翻版OAQ！！

wsph123

2014-08-12 02:08:32 +08:00

更像 http://txts.sinaapp.com 。。。

icedx

2014-08-12 06:22:24 +08:00 via Android

读写TXT不能更作

kawaiiushio

2014-08-12 06:51:00 +08:00

1024

zmj1316

2014-08-12 08:17:51 +08:00

kf路过帮顶

XadillaX

2014-08-12 08:50:53 +08:00 via Android

我记得以前猫玉米的域名就是 papapa.cn。

可惜现在貌似倒闭了。

yangxiongwei

2014-08-12 09:46:01 +08:00

yangxiongwei

2014-08-12 09:47:32 +08:00

发错了发错了！我明明没有把这张图上传到weibo啊。
我想发的是这张

spoonwep

2014-08-12 10:30:06 +08:00

呃，点了吾曰怎么空白了0.0

kailing1219

2014-08-12 10:47:52 +08:00

额回复不了

yueyoum

2014-08-12 10:54:25 +08:00

吾是我的意思
所以这是我日吗？

raintion

2014-08-12 11:06:30 +08:00

好像很厉害的样子哈哈哈我不会告诉楼主其实我也注册了个啪啪啪域名(papapa.me)，想用来做点什么1024的东西 ...

jkjoke

2014-08-12 11:10:30 +08:00

@spoonwep
@kailing1219

现在OK了

另外想要测试XSS的同学，请到 http://papapap.ga/xss进行
请勿到主页提交，以免影响网站正常运作，谢谢！

jkjoke

2014-08-12 11:13:49 +08:00

http://papapa.ga/xss

XSS测试地址，刚才打错了。。。

muziyue

2014-08-12 11:24:37 +08:00

不考虑弄个分页吗...这么下去会爆炸的吧- -

muziyue

2014-08-12 11:26:50 +08:00

哦哦,原来做了滚动加载,幅度太小了没看到

hydyy

2014-08-12 11:34:50 +08:00

不错！！！！

blackjam

2014-08-12 11:51:37 +08:00

ie8显示效果如何

jkjoke

2014-08-12 12:17:37 +08:00

什么人啊，素质这么低，一直在刷屏，直接Service Unavailable了

Artotria

2014-08-12 12:19:48 +08:00

Service Unavailable

Artotria

2014-08-12 12:20:30 +08:00

噗，留言板居然要翻墙= =

Artotria

2014-08-12 12:23:09 +08:00

有个bug，输入文字以后如果双击提交居然会提交2条/w \

Artotria

2014-08-12 12:25:13 +08:00

感觉不错，视觉上萌萌哒~\()/~

jkjoke

2014-08-12 12:26:42 +08:00

@Artotria 不用翻墙啊。。。。只是空间连接数很小，量大连接会被ban

oott123

2014-08-12 12:28:12 +08:00

已x。
> http://baidu.com " Onerror=alert(1) //'a'.jpg

你的转义很奇怪，用 addslashes 对 HTML 进行编码是不正确的……

Artotria

2014-08-12 12:39:46 +08:00

@jkjoke 有私のblog么，去你家逛逛QvQ

dong3580

2014-08-12 13:04:04 +08:00

加上cursor:pointer 好歹也手型啊

jkjoke

2014-08-12 13:21:30 +08:00

@Artotria 没写博客的习惯2333

DKR

2014-08-12 13:27:58 +08:00

加个油

arzusyume

2014-08-12 13:39:25 +08:00

之前看 papapa.moe 的域名没人买

ovear

2014-08-12 13:41:15 +08:00 via Android

不错啊。。lz如果需要空间的话可以m我哈

ovear

2014-08-12 13:41:55 +08:00 via Android

另外其实我也在做类似的app lz有兴趣合伙么

Artotria

2014-08-12 13:57:25 +08:00

@jkjoke OwQ

jkjoke

2014-08-12 16:04:01 +08:00

@dong3580 嗯，有些地方还不完善
@ovear 手机app?
@DKR 谢谢
@oott123 头疼，光靠正则过滤不完吗，有没有比较好的方式

qq529633582

2014-08-12 17:22:27 +08:00

咦，刚在/xss上挂上去一个新闻联播就被处理了

jkjoke

2014-08-12 17:26:38 +08:00

@qq529633582 2333，这种完全遮盖住的影响继续测试，我修改了过滤条件之后就去掉了

qq529633582

2014-08-12 17:35:59 +08:00

@jkjoke 为什么没有直接处理"<"、">"等字符呢

jkjoke

2014-08-12 17:43:57 +08:00

@qq529633582 删改的时候忘了。。刚补上

hanai

2014-08-12 20:34:03 +08:00

少了 <!DOCTYPE html>

hanai

2014-08-12 20:36:20 +08:00

按钮要处理 input 为空的情况

jkjoke

2014-08-12 21:18:09 +08:00

@hanai 喔，没注意，赶紧补上。

oott123

2014-08-13 00:46:43 +08:00 via Android

@jkjoke 考虑 urlencode？

ety001

2014-08-13 08:38:52 +08:00

我来补一刀我很早前做的类似的应用，http://ohshit.cc ，吼吼~

jkjoke

2014-08-13 08:55:03 +08:00

@ety001 不错，很实用，可怜我光过滤就弄了很久。后台还没开始做XD

ety001

2014-08-13 22:20:09 +08:00

@jkjoke 我会告诉你我这个既没有过滤也没有后台么。。。。

jkjoke

2014-08-14 00:06:39 +08:00

@ety001 谁知道我一来发就各种xss和刷屏。。。

ety001

2014-08-15 10:15:36 +08:00

@jkjoke 这是好事。

jkjoke

2014-08-15 10:20:21 +08:00

@ety001 嘛呢，学习了好多是真的，工作太忙，后台慢慢做了~~~ ：）

lovine

2014-08-30 16:34:17 +08:00

小清新的妹纸，提供vps可好，毕竟我vps上面就放了一个小博客[]~(￣￣)~*

jkjoke

2014-08-30 16:46:23 +08:00

@lovine
才不是什么妹子呢！
谢谢！现在已经可以啦，你的好意心领了