Nvmz 大佬有话说 :
使用第三方CFP的安全问题,给正在白女票CF pro的提个醒
本帖最后由 Nvmz 于 2020-8-13 19:11 编辑
这两天收了个Cloudflare Partners 闲的没事儿准备重写个面板自用
研究了下API,发现只要你授权过CFP,第三方CFP就能拿到你的user_api_key
这个的重要性不必多说了吧。。
https://api.cloudflare.com/#dns-records-for-a-zone-update-dns-record 这里面的全部可以访问
包括修改dns、删除域等等
一开始只是担心授权时账户密码会被泄漏,无非改个密码就完事儿了,但现在key能被直接获取。。即使你改了 我也能拿到最新的
暂时没找到取消授权的方法,有知道的大佬可以分享下。
目前是即使删除域,CFP记录列表中依然可以查询到相关信息
大家以后授权可小心点咯
补个图
https://imgloc.link/2020/08/13/uxJT.pnghttps://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
CloudRaft 大佬有话说 :
本帖最后由 CloudRaft 于 2020-8-13 20:18 编辑
取消授权的方法就是接入一家自己信任的CFP,比如接入Plesk之类的大厂的话相对就比较安全了(常说的Plesk CF Pro)
https://iuimg.com/images/2020/08/13/ZWXg.png
Lemon0 大佬有话说 :
那怎么哪到用户的key(#/。\#)
suantong 大佬有话说 :
权限很大,一般都是单独cf和专门的域名弄
Nvmz 大佬有话说 :
Lemon0 大佬有话说 : 2020-8-13 19:09
那怎么哪到用户的key(#/。\#)
看我图片里的接口。。只要你在第三方授权过 对方就能拿到 我目前是收来的CFP能拿到之前所有用户的key 看到他们的所有信息yc014thttps://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
秋上书 大佬有话说 :
就那么回事儿吧
Nvmz 大佬有话说 :
suantong 大佬有话说 : 2020-8-13 19:12
权限很大,一般都是单独cf和专门的域名弄
关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去搞客户 毕竟是收费服务https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
laogui 大佬有话说 :
Nvmz 大佬有话说 : 2020-8-13 19:15
关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去 …
跟楼主一样,不小心点了下:Q
wkz 大佬有话说 :
反正自己有CFP一点不慌
vultrlinode 大佬有话说 :
Nvmz 大佬有话说 : 2020-8-13 19:15
关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去 …
这么严重呢:L
不是怕云筏搞客户,而是怕有关部门搞云筏.
fule 大佬有话说 :
哦豁?还有这种事?