本文介绍了作者在项目中发现的一个高危安全漏洞,并详细记录了从发现问题到修复问题的全过程。作者不仅增强了项目的安全性,还对其进行了重构以支持更多的业务逻辑。
前言
我是在第一个版本发布了之后的第二天才发现这个bug的,因为segmentfault每天只允许发表10篇博文,而我,不知道。
因为最早的时候,这个项目我从未想着对外发布,但是嘛,入乡随俗,javascript就这风气,随便写个东西都想开源。
正因为此,导致一个非常高危的安全隐患。
令我悲伤的是,这么明显的bug,竟然没人向我反馈,这证明了,我写个这个破玩意儿,根本没人用。
好吧,不管如何我都要修复它,谁让我是有个有责任心的好青年呢。
更新日志
安全加强
这个seession最早是我自己的,这也就意味着其他人通过我的seesion可以操作我账号的所有权限,比如删完我所有的博客,删完我所有的答案,甚至发表几条招嫖广告等。幸而我每次都手动退出账号,不然以上可就真的成真喽。
虽然如此,但我发出去之后用的人就没有这么幸运了。他们的账号随时有可能被盗用。
当然,不是被我盗用。
全新拟人操作
虽然segmentfault没有对此做处理(我相信也不会),但为了逻辑清晰,我还是重新实现了业务逻辑。
访问首页
为了获取token和seesion。为此我已完整分析出其token算法,实现了自由的登陆和退出。登陆
通过动态获取的token和seesion进行登陆操作,给token授权。发表博文
核心操作,未来支持更多业务逻辑。退出。
释放token和seesion,给服务器减轻压力。同时保证账号的安全。
模块化重构
为了以后的扩展,我对此项目实现了模块化。模块的划分依据segmentfault官方的划分,比如其user模块下所有操作也由我的user来完成,user/login则有user模块下的login函数来处理。
命令支持
你现在再也不需要通过恼人的
node index "test.md"来发表博客了。
如果你使用了
npm install sfbloger -g来安装,你可以通过
sfbloger "test.md"来快速的完成文章的发表。
tag优化
现在使用非热门tag时,将会重置为other而非windows。
预览
$ sfbloger segmentfault博客小助手.md
正在申请token...
token申请成功...
开始登陆...
登陆成功,开始发表.
发表成功.
地址是:https://segmentfault.com/a/12312311231
安全退出..
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
