发发小牢骚。。。。
之前日了某个色站论坛,当时还打包了源码数据裤,然后站长关站了;
隔了几个月后,丫的又重开了,并且估计是看了我的文章,修复了漏洞.....[aru_24]
我当时发的带有他网站名称的标题文章抢了他论坛关键词,排在第一位.....
然后我的那篇文章一堆人评论问最新地址。。。全是些老色比。。。
终上所述,结果我们就杠上了,有事没事就来我博客评论,内容是他网站的最新地址....
一开始我没空,就把评论丢垃圾箱就完事,
最近腾出空了,想继续怼他,发现他漏洞修复了,然后我当时打包的源码不知道被我弄哪里去了,找不到了。。。
如果源码还在,真的是分分钟日下他,然后格盘教他做人,
可惜没有如果,现在我只能认怂,关闭该文章评论....谁叫我太菜了呢。。
不过相信我,我胡汉三还会回来的,你最好一直别让我攻进去 [aru_45]
抽了个空给博客添加了一个 在线子域名爆破扫描小工具
字典我会陆续添加,博客的稳定性相信大家都知道,喜欢的可以把工具页面添加到浏览器书签中.
工具源码来源于: https://zcjun.com/820.html 然后自己改了改,集成到了 wordpress 中.
最近忙没更新不代表我放弃了博客,有什么好的建议可以留言哦.
以前写的邀请码购买功能总有各种各样的问题,今晚在审计主题的时候,顺手进行了一波优化~
1.
$gl_data_WIDbody = filter_var($data_WIDbody, FILTER_VALIDATE_EMAIL); //对$data_WIDbody 数据进行过滤
filter_var() 函数有缺陷,可能造成安全漏洞,因此改用正则过滤.
优化后:
$regex = '/^[a-z0-9!#$%&\'*+\/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&\'*+\/=?^_`{|}~-]+)*@(?:[-_a-z0-9][-_a-z0-9]*\.)*(?:[a-z0-9][-a-z0-9]{0,62})\.(?:(?:[a-z]{2}\.)?[a-z]{2,})$/i';
$data_WIDbody = $_POST['WIDbody']; //接收WIDbody POST数据
if (preg_match($regex, $data_WIDbody)) {
} else{
echo "<script>alert('邮箱格式有误,请重新填写!');window.location.href='https://www.mrwu.red/xss#pay'</script>";
exit;
}
2.
存在逻辑漏洞,提交邮箱,跳转支付宝页面的同时会自动往数据库插入数据,没有判断是否支付购买成功,导致二次提交同一个邮箱显示已购买.
这个问题虽然不存在什么安全性问题,但是用户体验贼不好,所以重新梳理了一波 if 判断,这里就不贴代码了.
优化后效果:
用户提交邮箱,先判断邮箱格式,然后在查询数据库是否已经购买过,如果没有购买,跳转到支付宝页面,如果购买过则提示返回.
跳转支付宝页面后不会在往数据库插入数据,需要付款购买成功后才会写入购买记录.完美 bi de fo~
