他们这还有漏洞啊.... 既然回复的快就叫他们赶快再检查一下还有哪里没有验证就把电话交出去了...

curl 'https://all-dream.com/rest/student/info?studentId=d21ad8f718264854a4dee4dc4a11badd' -v
你们可以看到我的手机号码

累死了，，，我昨天才发的邮件

这根本不是验证的问题，就是 API 设计都有问题，为什么电话要放在这种 API 里查询，这权限模型整个都有问题

就是设计这个平台的时候就没多想，连 <html lang="en"> 都没改，大专水平

我还害怕会不会有常见安全问题呢，比如 PHP 和 SQL 注入、XSS 的问题，都是严重问题，懒得测试了

他们好像去 CSRF 头了... 看来我的客户端大概不能用了 23333 🌚...

大概还没稳定下来，又撤销了，我留张遗照...

是 CORS 🌑

< HTTP/2 200 
< server: Tengine
< date: Wed, 18 Jul 2018 12:10:24 GMT
< content-type: application/json;charset=UTF-8
< set-cookie: JSESSIONID=F1EE92DCFE79AE15C0CDE9C88E270816; Path=/; HttpOnly
< access-control-allow-origin: *

没有啊...

苟活了一波

#project 这次... Finallllest 吧 🌚

https://github.com/duangsuse/alldreamwall #web #recommend

🌝 已经包装完好，各位路过的大佬们如果看着顺眼就点个赞吧...

马上再往上加功能，这次是支持 URL 参数定位 SID、UID、选择 page 和 rowsize、category
然后支持手动设置 cookie，开启关闭夜间模式
然后支持 基于字段的 JSON prettyprint comment 插件

然后支持插件，允许使用 AllDreamAPI DSL 创建更多功能

plugin foo
author buf
description 无用的插件
menuitem 你好世界 link 🌐

begin
cookie foo as bar
ask GET ?
ajax get https://foo.com data
url param :result
param foo as bar
success javascript
alert(dsl['body'])
end
end

snackbar :result
setlist 你好世界
end