最新

Marmot 达成了一个重要里程碑。我一直在独自推进（在 AI 的帮助下），以真正完善这个系统。昨天，我达到了第一个里程碑，MySQL API 现在足够稳定，可以顺利安装和运行 WordPress。系统现在已经可以创建一个集群，然后根据需要扩展出多个副本。我想构建一些实际上在 AI 领域比较困难的东西，这一路走来经历了漫长而艰辛的过程，尝试了各种 AI 工具，并进行了大量学习。我会跟进一篇博客文章，但由于我已经准备好了所有脚本，可以帮助大家快速搭建集群和示例，我想把这些分享出来，以便大家可以提出意见，帮助我改进。 源代码可在以下链接获取： [https://github.com/maxpert/marmot/](https://github.com/maxpert/marmot/) 最有趣的部分是运行在集群中的 WordPress：[https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster](https://github.com/maxpert/marmot/tree/master/examples/wordpress-cluster) 这些 WordPress 实例各自连接到自己的 "MySQL"，但在后台则通过 SQLite 数据库进行复制和存储。

我开发了 dssrf，这是一个为 Node.js 应用程序设计的安全构建 SSRF 防护库。<p>大多数现有的 SSRF 库依赖于黑名单或正则表达式检查，这些方法容易被绕过。dssrf 采用了一种不同的方法，基于规范化、DNS 解析、重定向验证和 IP 分类。<p>主要特点： – 符合 RFC 的 URL 规范化 – DNS 解析 + IP 分类 – 重定向链验证 – IPv4/IPv6 安全 – 重新绑定检测 – 协议限制 – 包含 TypeScript 类型<p>目标是消除整个类别的经典 SSRF 漏洞，而不是修补单个有效载荷。<p>GitHub: https://github.com/HackingRepo/dssrf-js npm: https://www.npmjs.com/package/dssrf<p>我非常欢迎来自社区的反馈、边缘案例和贡献。

几周前，我在这里发布了我的一个副项目（Spikelog，简单的指标跟踪）。你需要注册才能试用它。<p>我不知道有多少人在这个步骤中放弃了，但我知道我个人在还没来得及浏览之前就会关闭标签页，如果某个网站要我提供邮箱。所以我最终添加了一个“无需注册即可试用”的流程。这是原帖中的一位评论者推荐的： https://news.ycombinator.com/item?id=46085379<p>为了让这个流程在你点击“立即试用”时生效，我会创建一个访客用户，并给你一个“刷新”密钥。这个密钥会存储在 localStorage 中。下次你访问时，我们会用一个新的 JWT 来替换它。如果你最终真的注册了，你的数据会转移过来。<p>我为访客和真实用户使用了不同的 JWT 密钥对（与我的身份验证路由器分开）。这样做的想法是，如果有人攻破了后端，他们只能伪造访客令牌，而无法伪造真实令牌。密钥是经过哈希处理的，访客创建受到速率限制（每小时每个 IP 限制 5 个）。只有真实账户才能调用合并端点，因此访客之间无法窃取彼此的数据。<p>这也有一些缺点。如果你清除了 localStorage，你将失去访问权限。它只能在一台设备上使用。而且我最终需要对数据库中闲置的访客账户进行一些清理工作。<p>我对其他人的处理方法很感兴趣。我想做一些能够反映我真实身份验证流程的东西，所有内容都从有效的刷新令牌开始（真实流程使用的是 cookie）。<p>如果你想试试，可以访问 https://spikelog.com。欢迎尝试并看看能否找到漏洞，如果发现问题，请告诉我，或者告诉我如何加强我的安全性。