DrawAFish.com:一场由低级错误引发的线上灾难
2025-08-05
DrawAFish.com,一个在Hacker News上短暂爆红的画鱼网站,因作者一系列低级安全错误而遭遇线上危机。过时的六位数管理员密码泄露、未经身份验证的用户名称更新API以及未与特定用户绑定的JWT令牌,导致网站在数小时内被恶意用户入侵,用户名被篡改,鱼类图像被恶意替换。作者最终通过恢复备份和修复漏洞解决了问题,并反思了快速开发与安全性的平衡。
开发