修复多项安全漏洞和Bug

1. 安全修复： - 修复密码重置接口用户枚举漏洞，统一返回消息防止信息泄露 - 统一密码强度验证为8位以上且包含字母和数字 - 添加第三方账号密码加密存储(Fernet对称加密) - 修复默认管理员弱密码问题，改用随机生成强密码 - 修复管理员回复XSS漏洞，添加HTML转义 - 将MD5哈希替换为SHA256 2. 并发Bug修复： - 修复日志缓存竞态条件，添加锁保护 - 修复截图信号量配置变更后不生效问题 3. 其他改进： - 添加API参数类型验证和边界检查 - 新增crypto_utils.py加密工具模块 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2025-12-11 19:14:14 +08:00
parent b9edc4aaa2
commit de51e1b7c7
6 changed files with 293 additions and 70 deletions
--- a/api_browser.py
+++ b/api_browser.py
@@ -64,12 +64,12 @@ class APIBrowser:
        import os
        import json
        import hashlib
-        
+
        cookies_dir = '/app/data/cookies'
        os.makedirs(cookies_dir, exist_ok=True)
-        
-        # 用用户名的hash作为文件名
-        filename = hashlib.md5(username.encode()).hexdigest() + '.json'
+
+        # 安全修复：使用SHA256代替MD5作为文件名哈希
+        filename = hashlib.sha256(username.encode()).hexdigest()[:32] + '.json'
        cookies_path = os.path.join(cookies_dir, filename)
        
        try: