品葱Bug楼, 专门用来方便没有账号的人报Bug(记得说新人不让讨论站务, 各位管理帮忙加上合适标签吧)
1楼先说发现的两个疑似Bug(也许是不错的特性):
1.好像cookie在服务端永不过期?(可以用来免密码登录, 方便随机密码账户)
2.URL里UID查询可以很方便的枚举用户, 比如说用来碰瓷新用户(我这个帐号就是用来碰瓷新用户的, 但另一面是方便混淆身份)
1.好像cookie在服务端永不过期?(可以用来免密码登录, 方便随机密码账户)
2.URL里UID查询可以很方便的枚举用户, 比如说用来碰瓷新用户(我这个帐号就是用来碰瓷新用户的, 但另一面是方便混淆身份)
8 个评论
即使手动退出, 原cookie依然有效?
只要不改密码cookie就永远有效
拒绝新用户讨论的站务,主要指行政管理类话题。技术类不需要设立门槛。已转移至站务区。
admin匿名发表文章后仍然可以通过编辑日志查到匿名者身份,不知算不算bug。
通过改名功能还可以伪装成后面注册的用户
所以哪个是真正被碰瓷冒充的用户?(第二个才是真正被碰瓷的人, 第一个是我用改名功能冒充的)
https://pincong.rocks/people/17011
https://pincong.rocks/people/17012
https://pincong.rocks/people/17026
@admin @admin8964
cookie策略现在改了吗? 我当时存储的cookie用不了了, 所以现在又注册了一个冒牌账号
https://pincong.rocks/people/17011
https://pincong.rocks/people/17012
https://pincong.rocks/people/17026
@admin @admin8964
cookie策略现在改了吗? 我当时存储的cookie用不了了, 所以现在又注册了一个冒牌账号