今日重返某**(手动屏蔽)模拟飞行论坛,因上次其宣布已修复呼号系统的问题,便对此忽然来了兴趣。

通过查看源代码发现只是通过js的replace进行过滤,后台处理是否有过滤未知,遂将这一段js代码在开发人员工具中删去,在呼号密码后加上了提升等级所需的代码,提交保存成功,且ES能以ADM权限登录,可知js过滤代码的方法已完全失效。

 

今后在开发尤其是设计HTML表单和js内容时,必须仔细考虑是否存在此类问题,否则将留下非常大的安全隐患,目前的VMS就应该有不少这种问题,需要在处理部分进一步加强防范。

ps:他们认为他们的论坛very stable.