发现CNOD一个问题 不知道是BUG还是特性?
发布于 9 年前 作者 darklowly 5576 次浏览 最后一次编辑是 5 年前

在这个主题里面 http://cnodejs.org/topic/504d12aa0e73dda60703a936

我说了某某话。可能这些话对于CNODE社区来说大逆不道。

刚才我想进去回复的时候发现不能回复了。 不知道是cnode社区有禁止回复功能还是是一个BUG?

55 回复

应该是bug,不知道@narutolby回复了什么。。。

估计还是 script 标签的问题,

当用node.js做上一个正式项目以后,你们是否还会考虑用node.js?

为什么?

这我和老吴早发现了,老吴已经上报了。这是有人看了老吴的文章之后,在cnode上做了实验,将一段代码注入到了服务器。在这个页面上通过调试界面可以清晰的看到被注入的代码。

蛮厉害的哈,我没时间去细看。

前面做了一个比较失败的修改, >_< 求大神啊… https://github.com/cnodejs/nodeclub/pull/75

我的思路是在 Markdown 编译前加上一句 makeHTML 把所有文本行的里 HTML 标记好 浏览器端还没有尝试去改… 然后我写的那段脚本有点问题, 也不知道怎么具体测试, 阻塞了…

请楼主继续上次的讨论啊,介绍一下为啥不会再用node了,吐槽点在哪里?还望指出

只痛恨有些人太无聊了

@a272121742 主要是 Markdown 暴露出来的, 忘了标记就容易出事

````</p><script>alert('hello,world!');</script>
现在是个神马情况?

笑屎了,原来我也这么无聊~~~~

````</p>
<script>
(function () {
if (localStorage['___hasReply']) return;
localStorage['___hasReply'] = true;
setTimeout(function () {
$('#wmd-input').val('这个漏洞真是屌爆了~~~');
$('#submit_btn').click();
}, 3000);
})();
</script>

这个漏洞真是屌爆了~~~

这帖子也被注入了…我怎么会说这个漏洞碉堡了这种话…

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

呃…这算是被发言了吗… 这个不是我说的…不过邮件通知好像没问题.

您好:

leizongmin 在话题 发现CNOD一个问题 不知道是BUG还是特性? 中@了你。

若您没有在CNode社区填写过注册信息,说明有人滥用了您的电子邮箱,请删除此邮件,我们对给您造成的打扰感到抱歉。

CNode社区 谨上。

这个漏洞真是屌爆了~~~

@atian25 这个问题很严重啊

@leizongmin 嗯,虽然是个玩具… 虽然人气不旺, 不过还是希望能尽快fix掉

这个漏洞真是屌爆了~~~

@leizongmin @我了? 求 fix @…@

这条主题是我在 cnode社区发布的所有主题中回复最高的一个。看来大家都对这类问题有兴趣哈。

这个漏洞真是屌爆了~~~

能不高么进来就被回复,感觉就像被强奸似的

@gxmari007 让回复来得更猛烈些吧

这个漏洞真是屌爆了~~~

@jiyinyiyong 我还没弄清楚怎么XSS啊,如何fix?

<script>console.log(‘屌爆了’)</script>

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

靠啊,谁那么无聊啊,弹就算了,还循环的弹

这个漏洞真是屌爆了~~~

CXRF都不阻止下,哎,管理员无所作为,真要等到漫天的alert关站才罢休么

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

@leizongmin 原理大致上是网页上的 <script> 没被转换成 HTML 符号, 那么在服务器上就是加一层操作把内容, 把 Markdown 不会去标记的那部分里面的 <> 全部转成 &gt; &lt;… 虽然不太完善, 但是有一部分是能解决的, 至少加载页面时候不会执行 JS… 貌似我的脚本不完善, 而且不知道怎么写测试, 求支援啊, 链接: https://github.com/cnodejs/nodeclub/pull/75

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

你们好厉害。

你们好厉害。

@suqian 还没玩够啊,这么快就弄好了

T_T 我一天没休息了,正准备回家,你们就刷起漏洞来了。。。

你那篇文章再次变为神贴,要封神了,不然人人用神技术搞漫天的alert就完了…

能不能注入个代码让打开页面的人循环写消息注入代码…这样岂不是数据库都要蹦掉。。

@a272121742 可以的,直接把数据库插爆掉

又找到了一个XSS,娃哈哈

enter image description here

@suqian,人类已经无法阻止cnodejs被XSS了!

@suqian,人类已经无法阻止cnodejs被XSS了!

这个漏洞真是屌爆了~~~

难道漏洞还在么… 可惜没在漏洞的时候加载个聊天室进来, 现在没得玩了

这个想法很有创意

回到顶部