237899745/vue-driven-cloud-storage
1
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity
Files
9d510afa60c25ecda0df3ea2aa6d1767b5ffbd9a
vue-driven-cloud-storage/backend
History
喻勇祥 9d510afa60 安全: 修复密码修改无需验证旧密码的安全漏洞 
问题描述:
- 用户修改密码时不需要验证当前密码
- 攻击者获取session后可直接修改密码
- 违反基本的安全最佳实践

修复内容:
1. 添加current_password必填验证
2. 在更新密码前验证当前密码正确性
3. 验证失败返回401错误
4. 更新API文档注释

API变更:
POST /api/user/change-password
请求参数:
- current_password (新增,必填)
- new_password (已有,必填)

影响范围: 用户密码修改功能

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-11 13:23:18 +08:00
..
.env.example
安全: 修复JWT密钥使用默认值的安全隐患
2025-11-11 13:17:57 +08:00
auth.js
安全: 修复JWT密钥使用默认值的安全隐患
2025-11-11 13:17:57 +08:00
backup.bat
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
database.js
修复: 将默认上传限制从100MB提升到10GB
2025-11-11 01:57:06 +08:00
Dockerfile
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
package-lock.json
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
package.json
v1.1.2: 修复依赖安装问题
2025-11-10 23:35:33 +08:00
server.js
安全: 修复密码修改无需验证旧密码的安全漏洞
2025-11-11 13:23:18 +08:00
start.bat
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
storage.js
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00