去评论
dz插件网

宝塔面板的漏洞毫无技术含量

逝水年华
2024/02/18 14:32:48
看了一下宝塔面板最近爆出来的漏洞

- https://www.freebuf.com/vuls/390723.html
- https://www.prkblog.cn/p/btpanel-early2024-critical-vulnerability.html
- https://www.v2ex.com/t/1015932
- https://www.v2ex.com/t/1015934

首先,第一个 RCE 漏洞和 SQL 注入漏洞为没有处理来自客户端请求传入的内容
另外一个 Auth 漏洞为过度相信 127 地址漏洞

都是低级错误,没有一个漏洞有什么技术含量

我自己写的代码只要用户输入的内容都完全正则限制,操作数据库的时候数字强行转一次数字再做一次判断最后以数组的形式拼接字符串,字符串类型的数据,一定会走函数来处理一遍,甚至会封装这个过程。

我自己写的代码都是我自己粗略审计,都不会有这种低级错误!
宝塔面板公司是网络安全公司,拿了那么多的奖项,那么多的员工,有那么多的资质,结果审计呢?这么简单的问题审不出来?

不知道任何用户输入的内容都会存在安全隐患,都要处理吗?
用户输入的内容有可能包含恶意代码或非法字符,会导致安全漏洞或攻击
SQL 注入、XSS 攻击
任何一个后端人员的基本功和必修课,就是要懂得谨慎处理用户输入,进行严格的输入验证、过滤和转义

虽然即使得当的处理,也有可能造成问题
但是最起码不会是这种没有任何技术含量的傻逼问题最后导致高危漏洞

最后说一句:**妈傻逼宝塔