Ovie

我的博客是hexo 和 fluid 主题搭建的， fluid主题支持不蒜子，开启下就行，不用编辑代码。 因为不蒜子有移动端的问题，我转成了vercount，不过有些麻烦： 1. 修改 `_config.fluid.yml` （加上`?i=`以忽略fluid在后面添加的部分）: ```yaml # busuanzi: https://busuanzi.ibruce.info/busuanzi/2.3/ busuanzi: https://cn.vercount.one/js?i= ``` 2. 修改 `themes/fluid/layout/_partial/scripts.ejs` ， 加了段script： ```ejs function observeAndDisplay(sourceId, targetId) { if (document.getElementById(sourceId)) {...

JWT密钥硬编码可能导致任意用户登录

1

在.env文件 里JWT Token硬编码。 https://github.com/huanghanzhilian/c-shopping/blob/1588741fe7631fd2712280dabce02253aeba5e99/.env#L3 以 http://shop.huanghanlian.com/ 为例，可以任意构造一个合法的JWT。  JWT里由userid组成，userid是MongoDB的ObjectID， Object ID可以预测，见 https://book.hacktricks.xyz/v/cn/network-services-pentesting/27017-27018-mongodb#mongo-objectid-yu-ce 。 修复建议： - 不使用硬编码的JWT密钥，项目初始化时随机生成

发送的http 1.0协议请求包错误：