你丫有本事去黑个日本网站,黑cnodejs这开源的已被人捅破漏洞的算个鸟啊

j4cnodejs 1楼•12 年前作者

今天上班发现头像被人篡改, 变成一个低俗图像, 鄙视之! 小人!

j4cnodejs 2楼•12 年前作者

今天fork nodeclub, 把漏洞补了!

nodefarmer 3楼•12 年前

是啊，开源的，有时间的都要来帮助完善。

young40 4楼•12 年前

头像和cnodejs么有关系。是调用的其他网站的。

j4cnodejs 5楼•12 年前作者

@young40 是跟cnodejs没关系,但是我的头像链接地址被人篡改了

jiyinyiyong 6楼•12 年前

必须的

leizongmin 7楼•12 年前

没看见有pull request啊，代码在哪里？

a272121742 8楼•12 年前

同意，黑cnodejs有毛用啊，多黑黑日本的网站，我们举双手鼓掌，我也保钓，大家一起来保钓

DoubleSpout 9楼•12 年前

@a272121742 同意把老雷的JJ切了的举手~

leizongmin 10楼•12 年前

改别人头像这个事不是我干的啊，你要相信我的人品。。。

jiyinyiyong 11楼•12 年前

@leizongmin 论坛左边这个是怎么的, 在头像链接里加那个啥么? 下次记得黑之前去 Github 提交 request 啊亲

leizongmin 12楼•12 年前

@jiyinyiyong 受楼主启发，才跑上去找到的，但是我不会修复这个漏洞

j4cnodejs 13楼•12 年前作者

@leizongmin 这么简单的修改, 我就不动手啦~~我前面的帖子里已经写得很清楚了, 在 GitHub 里也发了Issue

DoubleSpout 14楼•12 年前

@jiyinyiyong @leizongmin 我已经pull request了，他们管理员不鸟我啊，没办法~

leizongmin 15楼•12 年前

@j4cnodejs issue也木有啊，你提交到那个项目地址了？

leizongmin 16楼•12 年前

@suqian 管理员反应太慢了

fengmk2 17楼•12 年前

@leizongmin 我知道nodeclub有许多漏洞和bug，因为我们开源了，所以漏洞很容易被发现。但是我们开源的原因，也正是想要社区的力量，大家一起来完善这个nodeclub。

看着源代码来黑cnode，完全没有意思。

j4cnodejs 18楼•12 年前作者

@leizongmin https://github.com/cnodejs/nodeclub/issues

j4cnodejs 19楼•12 年前作者

@suqian 头像也变成兔子了?

jiyinyiyong 20楼•12 年前

hujs 能玩这么 high, 搞得人无语地羡慕…

fengmk2 21楼•12 年前

原来是html模板使用了单引号导致的。md

a272121742 22楼•12 年前

是的，有力量就贡献自己的力量~

DoubleSpout 23楼•12 年前

@suqian @leizongmin @j4cnodejs @a272121742 苏大大已经修复了超链接的注入和头像url的注入，万分感谢，只是现在内容页有侧漏，不知道什么原因引起的

j4cnodejs 24楼•12 年前作者

什么侧漏? 我这里貌似显示很正常

j4cnodejs 25楼•12 年前作者

##测试一下安全的HTML标签一下结果来自Google搜索

javascript this详解（转） - 独自莫凭栏- 博客园 www.cnblogs.com/felix2007/archive/2007/…/682670.html - 网页快照2007年3月21日 – 不过这里其实可以写任何合法的JavaScript语句，要是高兴在此定义个类也可以(不过将会是个内部类)。这里的原理是脚本引擎生成了一个div实例 … [图解] 你不知道的JavaScript - “this” - JavaScript - yaosansi’s Blog www.yaosansi.com/post/1263.html - 网页快照2008年4月21日 – JavaScript 里的this 到底指得是什么？很多人都会告诉你this 指的是当前对象。这样理解对么？在大多数情况下确实没错。比如我们经常会在网页上 … Javascript this关键字使用分析_javascript技巧_脚本之家 www.jb51.net › 网络编程 › JavaScript › javascript技巧 - 网页快照这是来自http://www.quirksmode.org/js/this.html这篇文章里对this的定义，直接看定义似乎什么也不知道，下面通过实例来说明各种情况下this所指代的对象以及原理。

leizongmin 26楼•12 年前

@j4cnodejs 这个帖子显示不正常：http://cnodejs.org/topic/5050076a5aa28e094301e2b1

leizongmin 27楼•12 年前

</p><script>alert(‘hello’)</script>

j4cnodejs 28楼•12 年前作者

@leizongmin 看到了,谢谢!

j4cnodejs 29楼•12 年前作者

@snoopy 看了一下源代码, 应该是原xss攻击脚本被sanitize().xss()后, 残余的代码导致页面html混乱. 对于安全的标签问题不大, 至少防住了攻击!

j4cnodejs 30楼•12 年前作者

@leizongmin 加油,继续测试,找出新的漏洞,我们好学习,好修复!

j4cnodejs 31楼•12 年前作者

@leizongmin 恭喜你,你又成功了! 快说漏洞在哪里

DoubleSpout 32楼•12 年前

我了个去啊，什么情况啊？</p><p>

DoubleSpout 33楼•12 年前

html 标签还没过滤掉~！！！！！！！！

leizongmin 34楼•12 年前

@snoopy @j4cnodejs 当嵌套HTML标签时，只过滤最外层的标签，里面的标签过滤不完整，可能是正则匹配问题

j4cnodejs 35楼•12 年前作者

举个例子!

leizongmin 36楼•12 年前

比如以下代码，最外面的onload="ooxx"被过滤了，但是里面那个没有被过滤

 <p onload="ooxx">not
<p onload="ooxx()">
ok
</p>
</p>

j4cnodejs 37楼•12 年前作者

@leizongmin 研究一下 validator 的 xss() 源码, 找找对策

DoubleSpout 38楼•12 年前

不需要这样，只需要先闭合标签，再打开标签即可，比如：</p><p id=“12321”>12321

DoubleSpout 39楼•12 年前

我就为12321这个P增加了ID属性了，当然也可以乱来了

leizongmin 40楼•12 年前

@j4cnodejs xss()方法根本就不会过滤这个的，它只删除<script>标签

j4cnodejs 41楼•12 年前作者

@leizongmin 删除了script标签, onload, href, onXXX事件它也都去查的

leizongmin 42楼•12 年前

@snoopy 这算是validator的Bug了

j4cnodejs 43楼•12 年前作者

@leizongmin 那如果在xss()基础上再过滤掉 $.getScript 呢? 就是禁止从外部获取 js

leizongmin 44楼•12 年前

过滤所有onXXX才是根本，只要可以执行js代码，不用$.getScript还可以用其它方法嘛，就像上次过滤了单双引号还可以用String.fromCharCode()生成字符一样

leizongmin 45楼•12 年前

validator没有过滤id属性

j4cnodejs 46楼•12 年前作者

@leizongmin 对, 过滤所有标签的on事件, 这个要反馈给validator作者

j4cnodejs 47楼•12 年前作者

问题找到了: validator@0.4.11 最新版, xss.js Line 150: 它虽然有过滤事件处理的机制, 但是它只替换第一个找到的匹配…无语

str = str.replace(new RegExp("<([^><]+?)("+event_handlers.join('|')+")(\\s*=\\s*[^><]*)([><]*)", 'i'), '<$1$4');

j4cnodejs 48楼•12 年前作者

把 ‘i’ 改成 ‘gi’ 是否可以解决? @snoopy, @leizongmin ?

fengmk2 49楼•12 年前

@leizongmin @snoopy 虽然你们可以很容易就找到漏洞，但是只为了想炫耀，我觉得没什么必要。

如果nodeclub只是我负责开发，那么开源的意义都没有了。

为什么国外的geek会那么喜欢参与开源项目，是因为他们会动手帮忙解决问题，而不是找到问题就想去炫耀。

无论如何，感谢你们。特别是在我正在参加“沪JS”的时候，每想到你们在这个时间点上还这样搞cnode，我感觉很伤心。

也同时提醒着我，不是所有人都是我想象中的好人。

fengmk2 50楼•12 年前

遥想起去年的高斯炮攻击，我们找到了攻击方法，不是第一时间去攻击别人的nodejs网站，而是找到node团队，找到tj，找到v8的人，提交攻击方法，然后等待反馈，希望能尽快让node去修复此问题。

我们在深圳nodeparty上，虽然演示了如何攻击，但是也是本地演示，而且代码无论如何也不会放出来。

做个善良的程序员，会让更多人羡慕你。

leizongmin 51楼•12 年前

不提交pull request是因为暂时没想出好的解决方法，只想着尽可能找出潜在的xss漏洞；
被多次说成是“炫耀”，我也感觉很伤心，我以为仅仅是“开个玩笑”而已；
为什么事情发生在“沪JS”期间，我觉得那只是时间巧合而已，并没有所谓的“预谋”；
所幸还没有更大的“危害”出来，要不我跟@snoopy 都成千古罪人了；
从此洗心革面，做个善良的程序员；

fengmk2 52楼•12 年前

@leizongmin 感谢。

j4cnodejs 53楼•12 年前作者

我看着心急, 我git新手, 还不知道怎么使用 fork - pull request 那一套啊, 谁来教教我

j4cnodejs 54楼•12 年前作者

@leizongmin 你这段html怎么裸奔了? 早上不是这样的啊

jiyinyiyong 55楼•12 年前

@j4cnodejs 这两个步骤都是 Github 加在图形界面里的功能 http://www.worldhello.net/gotgithub/04-work-with-others/010-fork-and-pull.html

j4cnodejs 56楼•12 年前作者

@jiyinyiyong Thank u!

jiyinyiyong 57楼•12 年前

@j4cnodejs 相对 Git 本身这俩步骤是不难了 :D

DoubleSpout 58楼•12 年前

@suqian @leizongmin @j4cnodejs 苏大大你误会了，老雷真的只是好玩，如果他是恶意用户的话，那天发现上传漏洞他就可以挂马了，请相信我们都是善良的人。之前我pull-request已经修复了a标签的执行js代码漏洞了，不知为何现在又出现了。目前markdown中有一个html标签没有过滤干净的问题，我和老雷会尽快pull-request的。我也写了致歉信，希望大家能原谅我们