首先感谢测试的大佬们。

1. xss注入漏洞

这块有做了一个不太成熟的方案。黑名单模式容易遗漏，昨天被各位弄的各种弹窗。虽然不准备在这个玩的项目上浪费太多时间。终究还是忍不了，做了如下改动：

防止恶意频繁提交评论，做了评论验证码。

后台把评论内容中的标签统统废掉，只允许提交纯文本评论——这块还有一个漏洞，不点明了。自己知道，希望大家没发现吧。

然后除了文章发布页，所有需要写入数据库的方法都加入了防注入注解，虽然不完善，先用起来吧。写文章页面由于要适配富文本编辑器，不敢简单粗暴的来……所以这块还完全没防备。

2.文件上传限制漏洞

这个比较严重，昨天被上传了个jsp页面并在我服务器创建了用户还远程登陆了……还好测试的大佬很友善地告知了。

解决方法是在后台判断了上传文件的扩展名，非图片一律不保存。把静态资源访问做了限制，用户上传的文件，只允许静态访问图片。可能还有不可知的遗漏，等待大佬们发现。

3.越权修改文章漏洞

这个漏洞太不应该了，完全是自己疏忽……经验不够呀！

解决：把所有涉及修改的请求方法统统做了session验证 如果验证不符，一律拒绝。

这个坑以后一定注意，不能重新入了……

1. 

   姜文(伪装者) 2017-07-18 09:45:29

   回复：赤老温
   

   回复：鲁有脚 t

   漏洞被发现了
2. 

   赤老温(伪装者) 2017-07-18 08:20:40

   回复：鲁有脚
   

   t
3. 

   洪七公(伪装者) 2017-07-08 23:54:21

   backbone
4. 

   鲁有脚(伪装者) 2017-07-05 10:35:45

   回复：谭处端
   

   11

   re
5. 

   谭处端(伪装者) 2017-07-05 10:35:25

   11