.env 环境变量泄露
docker-compose.yml 泄露
package.json 泄露
JSON 重复键辐射全站接口
CSRF 错误信息泄露
origin.yachiyo.hk 源站暴露
分页失效返回全量数据5MB
robots.txt 泄露隐藏路径
JSON无效鉴定可实现文章投毒攻击
留言可发布钓鱼URL直接木马部署
头像可 PUT 直接改外部 URL实现图片木马部署
SPF 缺失
WebSocket 不支持
HTTP/2 不支持
TLS 1.3 配置
安全头缺失多个
SSRF 参数可控(room/world?city=)
CSRF 可绕过(GET 请求)
木马可通过SVG/留言链接触发
CSP 缺失
DMARC 缺失
DKIM 缺失
SameSite Cookie 未设 Strict
X-Frame-Options 缺失
X-Content-Type-Options 缺失
Referrer-Policy 缺失
Permissions-Policy 缺失