Results
1
issues of
poplite
创建 Thread 时[没有设置任何验证](https://github.com/fooleap/disqus-php-api/blob/master/api/createthread.php),允许任何人直接调用`createthread.php`创建任意 Thread。 另外,在部署有评论框的网页 URL 后添加任意参数(如`?123`),就能调起创建 Thread 窗口:(貌似用网页 URL 当 Identifier 都存在类似问题)  **建议**:在服务端上检查创建 Thread 的用户身份,仅允许管理员创建 Thread,否则返回错误。