·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

宝塔面板的漏洞毫无技术含量

152 9
发表于 2024-2-18 14:32:48 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
看了一下宝塔面板最近爆出来的漏洞

- https://www.freebuf.com/vuls/390723.html
- https://www.prkblog.cn/p/btpanel-early2024-critical-vulnerability.html
- https://www.v2ex.com/t/1015932
- https://www.v2ex.com/t/1015934

首先,第一个 RCE 漏洞和 SQL 注入漏洞为没有处理来自客户端请求传入的内容
另外一个 Auth 漏洞为过度相信 127 地址漏洞

都是低级错误,没有一个漏洞有什么技术含量

我自己写的代码只要用户输入的内容都完全正则限制,操作数据库的时候数字强行转一次数字再做一次判断最后以数组的形式拼接字符串,字符串类型的数据,一定会走函数来处理一遍,甚至会封装这个过程。

我自己写的代码都是我自己粗略审计,都不会有这种低级错误!
宝塔面板公司是网络安全公司,拿了那么多的奖项,那么多的员工,有那么多的资质,结果审计呢?这么简单的问题审不出来?

不知道任何用户输入的内容都会存在安全隐患,都要处理吗?
用户输入的内容有可能包含恶意代码或非法字符,会导致安全漏洞或攻击
SQL 注入、XSS 攻击
任何一个后端人员的基本功和必修课,就是要懂得谨慎处理用户输入,进行严格的输入验证、过滤和转义

虽然即使得当的处理,也有可能造成问题
但是最起码不会是这种没有任何技术含量的傻逼问题最后导致高危漏洞

最后说一句:**妈傻逼宝塔
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论9

IT618发布Lv.8 发表于 2024-2-18 14:33:18 | 查看全部
关于网传漏洞的说明:
1、这个《堡塔云WAF》漏洞去年就修复了。
2、漏洞只能查看数据,并不能造成什么威胁,危害性较小。
3. btwaf数据库只会存储waf的基础信息和拦截日志不存在任何敏感信息。

注意!!!
此漏洞仅影响《堡塔云WAF》2.6至3.3以下版本

不会影响《宝塔面板》和《Nginx防火墙插件》
网传绕过宝塔面板安全入口为虚假信息宝塔面板的漏洞毫无技术含量 面板,字符串,函数,封装,用户
我要说一句 收起回复
婷姐Lv.8 发表于 2024-2-18 14:34:18 | 查看全部
到了宝塔这体量,不想被按脑袋就得时不时装作技术菜出点问题
我要说一句 收起回复
IT618发布Lv.8 发表于 2024-2-18 14:35:15 | 查看全部
电信2G太快了。
我要说一句 收起回复
IT618发布Lv.8 发表于 2024-2-18 14:35:45 | 查看全部
毫无技术含量你倒是自己挖几个0day级的出来显摆下:lol
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-2-18 14:36:42 | 查看全部
坐等楼主出一个比宝塔更好用更安全的面板,我一定马上投靠
我要说一句 收起回复
婷姐Lv.8 发表于 2024-2-18 14:37:41 | 查看全部
只要不会影响《宝塔面板》和《Nginx防火墙插件》 我都无视。
我要说一句 收起回复
IT618发布Lv.8 发表于 2024-2-18 14:38:07 | 查看全部
注入这个用参数化查询就解决了吧
我要说一句 收起回复
拾光Lv.8 发表于 2024-2-18 14:38:58 | 查看全部
还好不用waf
我要说一句 收起回复
TyCodingLv.8 发表于 2024-2-18 14:39:54 | 查看全部
宝塔那是用心良苦,你被按头的时候多帮你凑个说法.
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.117.138.12,GMT+8, 2024-11-5 18:51 , Processed in 0.391501 second(s), 128 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表