事情的起因

今天在修改密碼時提示修改失敗（必須包含字母，數字，特殊字符），習慣性的查看下請求響應，如圖，

輕松獲取到改密碼的接口地址，以及請求方式。

查看POST請求參數

很顯然，應該是使用js把新密碼和舊密碼進行了加密。關於具體如何加密，這無關緊要。因為需要原密碼，所以密碼你可以放心，這個改不了~~~不過，舉一反三，細思極恐，不需要密碼的豈不是完蛋了！！！

emmmm，寫著寫著舉報文成了教唆文~~~~（尷尬的表情）

如果我是黑客，我如何盜號

說一下過程，比如，我發布了一篇文章到博客園首頁，你看到標題覺得不錯於是點了一下，這時頁面跳轉到我寫的博客，重點來了！！！---------------這時候，你在博客園的登錄用戶名已經被我偷偷修改，你發布的博客被我全部刪除！你的博個人簽名被我肆意惡搞！

如何修改登錄用戶名

修改登錄用戶名只需要舊的登錄名，這個不難搞！

如何刪除博客，這點最致命！

刪除博客只需要博客ID，太好搞了！在哪我不能說！~~~~

如何修改顯示名稱

如何解決？

自己想了一下，HTTP請求真的無法避免被監聽，Cookie，referer 啥的也都沒啥用，解決之道只能在服務端，畢竟只有服務端才是對用戶完全屏蔽！簡單點的，當用戶在一段時間第一次刪除博客時，服務端請求輸入密碼驗證，驗證通過盡情刪，過一段時間再刪除博客再重新認證下！把delete權限抽取出來，放session裏記錄是否有過delete授權。貌似遇見過這種套路。。。至於其他的無關緊要的修改，如果不嫌麻煩也可以如此~~~emmmmm

關於上面如何刪除別人博客以及惡搞的細節，仁者見仁，智者見智，沒必要說出來~

【原創】博客園重大Bug！管理員快來！！