关于Hexo网站valine评论系统的BUG分析

最近在忙着写一个小程序,就没太关注博客,今天刚好有时间,寻思看看写点什么东西啥的,打开网页,可是吓了我一大跳。

what??????被网警抓了!!!!


那是不可能的,经过网页查看源码我们可以得知是valine出现的问题
QQ截图20211019204043.png

好,我们登录valine后台,查看评论日志
QQ截图20211019204730.png
QQ截图20211019204719.png
QQ截图20211019204859.png

不难看出,网站被xss了。打开valine的github,我发现了一个issue

QQ截图20211019205237.png
QQ截图20211019205355.png

该issue于今年1月27日提出,10月19日修复。可能是有睿智看见修复信息了,来找老站注入试试自己的水平?脑子属实有那个大病。

解决

  • 更新最新版的valine
  • 对于我来说最简单的,很简单,删库、移除valine。

结束

转载请注明出处,谢谢!
THE END
分享
二维码
打赏
< <上一篇
下一篇>>