前端和后端的都有锅
2025年1月24日大约 1 分钟
声明
1.我做的确实有点不对,往里面XSS注入和尝试输入大量的字符串,找漏洞的方式有点不对
注
永远不要相信用户输入的每一个字符
首先就是上面这句话所说......
网页版出现了XSS注入问题.
原因是牢鼠写的时候没考虑完全(估计也没人想到会有人在头像链接,留言,个人简介里面写这些东西)
当然后端也有锅,不检查用户发送的内容,不检查头像链接是否正常,一些防呆防傻措施不到位等等......估计也是和上面说的一样
这也给牢鼠气红温了 (修复了牢鼠不会红温的bug)
[1]
Hehe: 这是网页版的问题,不关我后端的事
对了,牢鼠那边说是后端的问题 (话说确定这是web工程师的的水平)所以这就是不检查用户输入的理由?
现在都修了
这个广场能不能做成我这边要打个问号,毕竟这个东西都能踢皮球别的东西我也不指望能好到哪里去了
强烈建议以后出现这类安全问题也别反馈,他们自己的事情,出事情他们自己负责.咱测试的没必要去管