flx 大佬有话说 :
v2board的漏洞应该是作者故意留的
这个漏洞只有1.6.1才有,明显不是迭代遗留下来的问题,而且漏洞利用也很巧妙,直接f12找到api的key就能通过普通用户获得管理员权限,估计这次风波一些机场主可能损失惨重,一方面user数据全被被泄露了,另一方一些人利用这个漏洞更改机场主的支付或者佣金也让机场主金钱受到巨大损失。
大家认为作者留下这个漏洞的目的是啥?
gfef 大佬有话说 :
都埋 GA 啦
战斗鸡 大佬有话说 :
作者是王晶的密切合作伙伴yc001t
HOH 大佬有话说 :
你可以自信点说是公安开发的
小二的cat 大佬有话说 :
看了下出问题部分的代码,感觉单纯就是粗心大意引起的bug而已,不用这么阴谋论,这种开源没有收入的软件,指望作者能进行全方位测试还是很难的。
https://dimg02.c-ctrip.com/images/01A0912000aadzupxF659.png
摸鱼小熊猫 大佬有话说 :
作为安全从业人员,同意楼上的说法,不要过度解读,这看起来更像是疏忽引发的bug:
问题在于鉴权中间件:
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码新的鉴权代码造成了严重的漏洞。v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员,管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
换位思考一下,如果我是作者,真想留后门,为什么不用更巧妙更隐蔽的方式呢
宣传 大佬有话说 :
作者肯定是国安
jackiechan 大佬有话说 :
作者要是玩阴的,你们一年都发现不了。
jackyjack 大佬有话说 :
单纯的粗心大意
laoniu0711 大佬有话说 :
差不多得了,免费开发这么久,真要搞小动作你用了人还能在这发帖?