Micolog RPC漏洞及修复
八月 24th, 2009
由于代码不严谨,导致使用xmlrpc功能发布文章时,认证功能出现错误。
SVN上最新代码已修复该BUG.
http://code.google.com/p/micolog/source/diff?spec=svn56&r=56&format=side&path=/trunk/api_rpc.py
将apirpc.py的第21行的
if not (username and password and g_blog.rpcuser==username) and (g_blog.rpcpassword==password):
修改为
if not (username and password and g_blog.rpcuser and g_blog.rpcpassword and (g_blog.rpcuser==username) and (g_blog.rpcpassword==password)):
就可以修改该错误。
请使用micolog的朋友尽快修改该错误!
域名被河蟹了。无奈
只能通过mlog.appspot.com访问
这个版面样式好,看起来清爽。
黑莓WordPress客户端不能更新MICOLOG,原因可能是MICOLOG实现的WP协议版本太老了:http://blackberry.forums.wordpress.org/topic/you-cannot-manage-post-1
黑莓WordPress客户端不能更新MICOLOG,原因可能是MICOLOG实现的WP协议版本太老了:http://blackberry.forums.wordpress.org/topic/you-cannot-manage-post-1
有gae上的中文论坛程序吗?前几天见了个,忘了网址了,哪位知道的朋友给说一下。
“提交留言的bug也请修复一下吧”网上搜,自己该一下代码就好了!很简单的
提交留言的bug也请修复一下吧
谢谢
预计什么时候发布新版本啊
昨天看着api_rcp的这个地方,觉得挺对的……用户名密码都验证了……
已经修复了!很好!
刚才用google docs发文试了以下,发现只有用户名正确,密码错误都可以发文,太可怕了!
翻看了以下api_rpc.py的代码,发现以下认证逻辑可疑(checkauth类):
if not (username and password and g_blog.rpcuser==username) and (g_blog.rpcpassword==password):
raise ValueError("Authentication Failure")
not应该在更外面,否则密码错误都变成认证通过了,改为这样:
if not (username and password and g_blog.rpcuser==username and g_blog.rpcpassword==password):
raise ValueError("Authentication Failure")
似乎没问题了
加个友链啊
还有一个bug
还有就是,请把我弄得测试(0)和 micolog(0) 分类也删除了啊
看到大哥这么快就修复了该bug,我就心安了。。。。
怎么回事啊?恐怖呢!
徐大哥点我名字看看
有个可能的原因,仅供你参考:
get_current_user 只能在 request handler 中调用,不然可能会返回缓存过的 user
大哥你快看看
ps:sorry