@linda #192306

加密后放到后台数据库，取出时通过前端脚本解密，完全可行，而且不少网站就是这么做得。

不存在什么用户看不到数据的问题。

@47小管家 #192291

他的技术栈原来是python，好家伙，从没听其谈过爬虫技术和AI。

原生js没有md5加密函数，也是才知道，难怪会引入一个外部md5函数。之前看不明白还以为js原生就有md5。

api不是路由，那登录的时候会往里面patch加密后的密码值，又是什么情况。

@linda

前端开发我做过，用的nodejs内核驱动的react框架。你说的flask好像是python的框架。整个流程先做组件开发，之后的页面布局设计当然是直接从控制台就可以获取到。

那个md5js脚本的用途不明，但是我翻上传数据和js文件，发现还是做了哈希化处理，并非明文传输。

api({action:'login',username:username,password_hash:hash_user_pass(username,password),}).then(_=>{if(document.referrer.match('/register')||document.referrer.match('/login')||document.referrer==""){window.location.href='/'}else{window.location.href=document.referrer}}).catch(err=>{alert(err)
t.disabled=false})});});});

上面的就是整个api鉴权脚本。是往/api路由里传值。下面是hash函数构造。这两个模块应该都不是瑞贝克写的，而是本身组件里的内置方法。只是看到稍微改了下加密算法。可以看到首先就是对表单里的用户密码两个值进行md5加密。然后再拼接其他数值，再套一层md5。

function hash_user_pass(username,password){

var fin=md5(password+username)

var pi=h=>parseInt(h,16)

var h2a=h=>h.split('').map(pi)

var sum=k=>k.reduce((a,b)=>a+b)

var times=8964+sum(h2a(fin))*2047%8964

print(times)

for(var i=0;i<times;i++){switch(pi(fin[31])%3){case 0:fin=md5(password+fin+username);break

case 1:fin=md5(username+fin+password);break

case 2:fin=md5(fin+password+username);break

default:return 'this is NOT cryptographically secure but enough of a headache'}}

return fin}

他后台数据什么情况我不清楚，但是只要是明文存储肯定不安全，类似身份证或者手机号这种信息入库之前至少进行非对称加密。另外ngnix或者apache这种中间件本身就能记录访问ip。即便不入录入后台数据，调阅web服务日志一样可以找到。

首个国产抗新冠口服药每瓶不超 300 元

近日，河南日报记者从河南真实生物科技有限公司获悉，目前，治疗新冠肺炎的阿兹夫定片价格初定，每瓶不到 300 元，每瓶 35 片，每片 1mg。

7 月 25 日，国家药监局根据《药品管理法》相关规定，按照药品特别审批程序，进行应急审评审批，附条件批准河南真实生物科技有限公司阿兹夫定片增加治疗新冠病毒肺炎适应症注册申请。

这意味着，阿兹夫定片成为国内首款自主研发的口服小分子新冠治疗药物。

在此之前，辉瑞新冠病毒治疗药物奈玛特韦片/利托那韦片组合包装（即 Paxlovid）于 2022 年 2 月获得国家药监局的有条件批准上市，成为首款在中国获批的进口抗新冠口服药。

支那有国产抗病毒药了，河南产的，就看支那人敢吃不。

@111aaa #192231

这么水的技术，还想放个屁就跑，这玩意他妈的六岁小孩都玩的飞起，拿这玩意炫技真是蠢到不知道自己有多蠢。

@111aaa #192231

你没打到老子的脸，把你自己给打了，我没仔细看还以为你翻阅域名服务器的映射表。搞了半天这点工作你都没做，直接搁这查个dnsdb.io数据库就完事了。真是技术不行人还犯懒犯贱。查个数据库还藏私域名，这味真支啊可是。支那网安业内都这么逗b么。技术菜还喜欢天天教训人。

没本事拿到中文版的真实ip就老老实实承认。跑这糊弄谁呢。我这直接放完整版的。不要钱。

我现在怀疑你是不是广府畜瑞贝克的脑残粉，故意跑这捣乱的。

法新社记者：台湾当局就大陆发表的《台湾问题与新时代中国统一事业》白皮书回应称，中国正竭力创造“恐吓台湾人民”的新常态。另外，台湾今天举行了实弹演习。你对此有何回应？

汪文斌：蔡英文和民进党当局颠倒黑白、混淆视听，再次暴露了其谋“独”分裂的本质。我要强调的是，实现祖国完全统一是全体中华儿女的共同意志，是无法阻挡的历史大势。我们愿意为和平统一创造广阔空间，但绝不为各种形式的“台独”分裂活动留下任何空间。

我们正告台湾民进党当局，勾连外部势力进行谋“独”挑衅，最终只会加速自身覆灭，把台湾推向灾难深渊。搞“台独”分裂绝不可能得逞，出卖国家民族利益必将遭到彻底失败。

@111aaa #192169

支那整体的计算机水平都很低，我虽然不是搞网安的，但是对于行业内部有多水还是非常了解的。不论科班还是野生培训班自学出来的，基础都很不扎实。表现出来的就如同你目前的状态，对技术了解不够细致深入，喜欢宽泛的谈各种概念。

真正做技术工程的大牛，可以把问题拆解清楚，细部描述清楚，建议你去看看西方的计算机课程，基本上都是从原理开始讲起，逐步展开，学到最后，自然可以构建出复杂的工程实现。

或者有些国内科普博客也有很不错的，例如阮一峰这种。你说的DNS那里面有很清晰的描述。说话口气也平和，真不知道你的技术到底有多强。

@111aaa #192169

是你在胡搅蛮缠混淆概念的乱杠，并不涉及我所列举的各种实际问题，或者涉及到了一部分，但我进一步深入追问就开始含混不清。

至于dns是什么玩意，一篇百度文章都能解决的事，不知道你为什么会执意认为别人不懂，真的很可笑。

你直接说说我说的三个问题是怎么实现的，最后一个你说中间人攻击不懂，前面两个呢，真有水平就把细节说清楚，别含混不清。别说几句话里就冒出一句什么对方连dns都不懂这种莫名其妙的蜜汁自信。

老实说，从目前你的表述看，你的水平应该是很不咋地，从头到尾都在吹概念，而且属于说两句深入不下去就开始转移话题，当然也不是那种完全没入门的小白，做得项目是什么我不清楚，但从这些前后矛盾的表述上看，对于攻击模型机制细节上了解的很不充分。所以前言不搭后语。

例如什么0day不难，但之后听到我说比ddos稍微难点，又说web侵入其实很难因为需要源码，既然如此0day实现的前提就很难，因为难以了解到对方使用的源码。等等等从头到尾这些都是你说的，我只是在重复你谈的这些七零八落不成体系的叙述。

@海雨天风 #192024

强几毛钱的?呵呵，支那人的德行按地域划分真的很脑残。明明都远低于人类下限。比烂思维要不得。

这个网站已经没人气了，属于废站状态，谁都拉拢不到，所以才容纳皇汉发言。来个稍微水平高点的支黑，都会立刻踢出皇汉。所以来撕逼的都是什么水平你要看明白。

民运也好姨粉也好都是不可能成气候的原子人，连中国最大的民族都无法很好的统合，甚至还搞逆民为了舔西方主流左派，强行代表汉人给少民道歉，给自己泼脏水，除了能吸引一些推上的精神病，毫无任何前途可言，真没必要理这群稀烂。

皇汉要做的是整合汉人自身，有了组织度，至少在海外能够相互扶持，就迈出了改变的第一步。有了组织度，关键时候能保护成员，到时民运自由派这些破烂玩意上来倒贴，皇汉挑他们，根本不必统战。

前几天的马面裙抗议我看就很不错，体现出了抱团意识，引来了西方关注，甚至统战了部分白人。觉得国内没救，那就先从国外汉人开始。你不喜欢港台，认为他们抛弃了中华，那就联合海外汉人呗。

@111aaa #192007

内网没内部人员配合开启高危服务，几乎无法攻破。

@111aaa #192005

别人明显不是民间级别的。哪来的心里清楚就行了。

你的逻辑还是有点问题，之前说0day攻击应该没准备很长时间，，现在又说web攻击难度高，花的时间会很长。前后矛盾了都

第一个ddos也没分析清楚，只说cdn也有风险，但如何突破高级防火墙又语焉不详。

感觉就是在空谈概念，没有什么实际经验。

江南娘炮挺烦中原侉子的，跟广府猴口中的北佬差不多。你贴他们跟贴港台也差不了多少。

实话实说。勿喷。

@111aaa #191996

web入侵本来就不难，例如今天台大又被黑，这种入侵开后门上传脚本篡改页面的行为也就比ddos发送流量要高级点，而利用系统漏洞或者内核漏洞难多了。

我当然没了解什么服务器分布状况，但基础设施服务器没必要连接外网，更多是一个发布平台或者控制系统。根本不需要同外部数据交互。这和普通的web应用例如网站、社交媒体或者博客论坛完全不同。

@111aaa #191968

哎呀知道cdn配有dns服务，但总统府网站肯定不可能套裸cdn，连个高级防火墙都不配？中华电信这么拉胯？

你说的找即时漏洞倒是可能，但没有对外接口，入侵基础设施服务器的难度大，不排除联合内部人员作案。

至于你说的第三个youtube频道被攻击，先不谈流量检测的问题，第三方中间人攻击不可能了，到底是如何入侵，最好给出明确的路线图。

@111aaa #191961

别尬吹了，还我没入门，你说的这些东西就是入门级的，怕是你就知道这些。

第一个中文也能ping通啊，说明连接没问题，根本没dd了，图都给出来了，只是被cdn关闭连接而已。你怕是连我的文章都没看完就开始胡扯。还有你攻击一个套cdn的服务器试试，真实ip那么容易被暴露，cdn早没人用了好么。

第二个肯定不是当时入侵的，而是挂后门，设置触发，也就等上头的命令。控制硬设备的服务器又没对外的页面接口，哪有那么容易突破。

第三个也没你说的那么简单，一般网站的中间人攻击还好说，伪造证书即可，但对方是youtube，给这种大厂签发证书的颁发机关可信度极高，想要伪造难于上天，你怕是一辈子也伪造不出来。

最后台湾国安局还没你聪明？别人人才多的是，知道几个概念吹得没边了都你怕是。

@sorrysorrysorry4 #191014

你也是有意思，中国人道德败坏和政治信仰有个jb毛的关系，中国主义恶臭，渚夏主义一样恶臭，共产主义难道是中国原生的?论道德水准，腊时代难道比现在还好?民运比小粉红要好?

腊和秃子当然有区别，没区别还打个鸡毛的内战。国际上两人名声也不可同日而语。两人放一起来谈就是缺乏历史常识和逻辑判断力。

稍微有点生活经验的都懂，支那堕落是整体性不分地域世代性别。你所谓的鉴别中国人就像试图区分瑞贝克这头广府畜和阿篱这种沪国恐怖分子一样，蠢到令人感到滑稽。脑子不好使的才会归咎于某一种意识形态或者宗教信仰。为什么普罗大众不信民运，正是基于这一点。

#和中国人（包括本站的管理者）处不好就对路了，说明你是正常人。