这是我针对 Typecho 漏洞的一些回复 - V2EX

这是我针对 Typecho 漏洞的一些回复 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2981 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://joyqi.com/typecho/about-typecho-20171027.htm

希望大家理性去分析技术问题。原文一句细思极恐，桃李不言，下自成蹊

第 1 条附言 2017-10-27 17:14:03 +08:00

已经跟漏洞的相关方讨论过这个事情，大家的初心还都是技术层面的交流，之前在流程上由于沟通不畅造成了一些误解，现在误解已经消除，大家也不要恶意去揣测他人的意图，让我们把焦点放在技术本身。我们也一致表达了在安全层面加强合作的意向。

28 条回复 2017-11-02 12:26:27 +08:00

1

towser

2017-10-27 13:23:36 +08:00

基本算是有理有据，令人信服。

2

AsherG

2017-10-27 13:27:46 +08:00

看一下其他各位大佬怎么说

3

Sanko

2017-10-27 13:30:58 +08:00 via Android

支持作者

4

jamfer

2017-10-27 13:34:14 +08:00 via iPhone

支持一下，赞同作者的观点，带节奏搞内斗实在没必要，国内做这个的本来就不多。

5

LittleYangYang

2017-10-27 13:39:53 +08:00

支持一下作者！

6

qqjt

2017-10-27 13:52:44 +08:00

3

发现一个漏洞，提 issue 啊，总想搞个大新闻

7

airyland

2017-10-27 13:59:47 +08:00

那个文章真是在不了解上下文的情况下恶意揣测

8

wpby

2017-10-27 14:10:54 +08:00

支持一下~并没有看懂如何攻击

9

changwei

2017-10-27 14:18:04 +08:00 via Android

支持 70 大大

10

16500682

2017-10-27 14:18:44 +08:00 via Android

新的正式版，会在本周放出。

11

ipeony

2017-10-27 14:22:01 +08:00

支持作者

12

hicdn

2017-10-27 14:24:01 +08:00

有理有据，解释的很清楚。开发和安全站在各自的角度对问题的理解不一样。

13

slowgen

2017-10-27 14:40:10 +08:00

漏洞是漏洞,后门是后门,是两回事
作者编码思路都解释得一清二楚,有理有据,令人信服
安全界总有一批人想搞个大新闻,之前的 Node.js 反序列化漏洞可远程执行代码也是这样

14

VicYu

2017-10-27 14:41:04 +08:00

支持

15

noNOno

2017-10-27 14:53:53 +08:00

支持作者.

16

killerv

2017-10-27 15:14:55 +08:00

漏洞和后门这两个词的意思相差很大

17

ryd994

2017-10-27 15:30:24 +08:00 via Android

当这一步做完验证后，并写入相应信息后（也有可能不写入，比如 GAE 之类的容器环境，根本没有可写的环境），再 Location 跳转到下一步，也就是去写入初始数据。
我觉得这里做的不太好，能不能一步做好呢？
验证信息可以 ajax，表单太长可以分 tab，还可以利用浏览器 localstorage 临时保存填写进度
如果一步走完的话，这个问题是完全可以避免的
换句话说，能不能只用一个 POST 做？

18

Alwaysonline

2017-10-27 15:30:59 +08:00

算 Bug 吧通常各类程序安装完后，会提示去删除 install 文件夹和文件。

可以考虑来个提示。

19

evlos

2017-10-27 15:31:07 +08:00 via iPhone

这些人啊，总想搞个大新闻

微信文章备份 https://archive.is/M5Ckx

20

Lyvnee

2017-10-27 15:35:29 +08:00 via Android

作为 typecho 的使用者，感谢作者及时做出说明。

21

wildcat007

2017-10-27 18:45:51 +08:00

typecho 很好用啊~支持作者

22

wildcat007

2017-10-27 18:46:22 +08:00

作者在 v2，以后可以多骚扰一下了

23

iFlicker

2017-10-27 19:48:51 +08:00

有生之年终于看到新的正式版了 0.0

24

IMRES

2017-10-27 20:18:01 +08:00 via iPhone

支持

25

jasontse

2017-10-27 21:03:34 +08:00 via iPad

typecho 都要更新了，柯南大结局还会远吗

26

mingyun

2017-10-27 23:00:18 +08:00

@evlos https://archive.is/M5Ckx 打不开呢

27

enlau0912

2017-11-01 01:24:30 +08:00

支持作者。有些人想用面新增加自己的流量。

28

wujunze

2017-11-02 12:26:27 +08:00

我的博客 typecho 根目录出现两个小马 shaoyu.php google.php

关于帮助文档自助推广系统博客 API FAQ Solana 5293 人在线 最高记录 6679

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 32ms UTC 01:39 PVG 09:39 LAX 17:39 JFK 20:39
Do have faith in what you're doing.

ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86