宝塔面板的漏洞毫无技术含量

逝水年华 · 发表于 2024-2-18 14:32:48

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

看了一下宝塔面板最近爆出来的漏洞

- https://www.freebuf.com/vuls/390723.html
- https://www.prkblog.cn/p/btpanel-early2024-critical-vulnerability.html
- https://www.v2ex.com/t/1015932
- https://www.v2ex.com/t/1015934

首先，第一个 RCE 漏洞和 SQL 注入漏洞为没有处理来自客户端请求传入的内容
另外一个 Auth 漏洞为过度相信 127 地址漏洞

都是低级错误，没有一个漏洞有什么技术含量

我自己写的代码只要用户输入的内容都完全正则限制，操作数据库的时候数字强行转一次数字再做一次判断最后以数组的形式拼接字符串，字符串类型的数据，一定会走函数来处理一遍，甚至会封装这个过程。

我自己写的代码都是我自己粗略审计，都不会有这种低级错误！
宝塔面板公司是网络安全公司，拿了那么多的奖项，那么多的员工，有那么多的资质，结果审计呢？这么简单的问题审不出来？

不知道任何用户输入的内容都会存在安全隐患，都要处理吗？
用户输入的内容有可能包含恶意代码或非法字符，会导致安全漏洞或攻击
SQL 注入、XSS 攻击
任何一个后端人员的基本功和必修课，就是要懂得谨慎处理用户输入，进行严格的输入验证、过滤和转义

虽然即使得当的处理，也有可能造成问题
但是最起码不会是这种没有任何技术含量的傻逼问题最后导致高危漏洞

最后说一句：**妈傻逼宝塔

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

IT618发布 · 发表于 2024-2-18 14:33:18

关于网传漏洞的说明：
1、这个《堡塔云WAF》漏洞去年就修复了。
2、漏洞只能查看数据，并不能造成什么威胁，危害性较小。
3. btwaf数据库只会存储waf的基础信息和拦截日志不存在任何敏感信息。

注意！！！
此漏洞仅影响《堡塔云WAF》2.6至3.3以下版本

不会影响《宝塔面板》和《Nginx防火墙插件》
网传绕过宝塔面板安全入口为虚假信息宝塔面板的漏洞毫无技术含量面板,字符串,函数,封装,用户