Typecho 友情链接插件 Links 越权漏洞

3 months ago

趁着这几天学校刚开学能有稍微有多一点空余时间,便对博客的插件进行了一次检查维护。当维护到友链插件 Links 时,留意到一个比较奇怪的问题,在插件目录下负责处理后台管理友链请求的 Action.php 之中的全部方法没有做任何权限验证,一开始我以为 Typecho 本身会对这些请求作相应认证工作,但是经过一些测试之后证实这是一个允许越权以及 ...

CommentReminder: Typecho 评论邮件提醒插件

August 26th, 2016

博客之前一直使用一款挺优秀的插件 CommentToMail 来作为评论邮件提醒的解决方案,然而这个插件美中不足的是对国外邮箱 SMTP 的兼容性不是太理想,尤其是 Gmail 等提供商近年来强化了安全验证机制,导致插件会时常连接不上其 SMTP 服务而无法发出邮件。后来了解到 Google 提供了可对 Gmail 进行邮件管理的 API, ...

解决 PJAX 导致 Typecho 评论失效的问题

April 11th, 2016

之前鼓捣过几个实现了 PJAX 的 Typecho 主题都同样地遇到了评论回复功能失效的问题,在制作现用的 Liteday 主题时也不例外,虽然我尝试过覆写页面 <head> 部分及修改 Typecho 源代码等方法,但步骤都较为繁琐,对于日后维护可能会造成一些不便。 在测试过 Google 搜出的各种解决方案之后,我认为重载 ...

ExtraVerification: Typecho 后台登录两步验证插件

February 15th, 2016

两步验证又称为双因素验证,是指用户在登录时除了要输入用户名和密码之外,还需要输入一个由手机等设备随机生成的一次性动态密码的登录验证机制,例如 Google Authenticator 就是其中一个常用的动态密码工具。 因为 Typecho 在后台登录没有预留身份认证相关接口,所以要支持两步验证机制不可避免要触动源代码,然而,单靠修改源码添 ...

在自家接收 NOAA 气象卫星云图

February 3rd, 2016

之前在 Youtube 上偶然看见有人用一根电视棒就能接收到 NOAA (美国国家海洋和大气管理局)的卫星云图,很高大上很好玩的感觉。我在好奇心的驱使下查了很多有关的资料,了解到这是基于 SDR (软件定义无线电)技术实现,而接收设备真的只需要一根电视棒+一条普通天线而已。 接着当然是要到万能的淘宝去搜刮器材了。不幸的是,因为众所周知的原 ...