全球主机交流论坛

标题: 宝塔面板的漏洞毫无技术含量 [打印本页]

作者: Prk 时间: 2024-2-18 04:09
标题: 宝塔面板的漏洞毫无技术含量
看了一下宝塔面板最近爆出来的漏洞

- https://www.freebuf.com/vuls/390723.html
- https://www.prkblog.cn/p/btpanel-early2024-critical-vulnerability.html
- https://www.v2ex.com/t/1015932
- https://www.v2ex.com/t/1015934

首先，第一个 RCE 漏洞和 SQL 注入漏洞为没有处理来自客户端请求传入的内容
另外一个 Auth 漏洞为过度相信 127 地址漏洞

都是低级错误，没有一个漏洞有什么技术含量

我自己写的代码只要用户输入的内容都完全正则限制，操作数据库的时候数字强行转一次数字再做一次判断最后以数组的形式拼接字符串，字符串类型的数据，一定会走函数来处理一遍，甚至会封装这个过程。

我自己写的代码都是我自己粗略审计，都不会有这种低级错误！
宝塔面板公司是网络安全公司，拿了那么多的奖项，那么多的员工，有那么多的资质，结果审计呢？这么简单的问题审不出来？

不知道任何用户输入的内容都会存在安全隐患，都要处理吗？
用户输入的内容有可能包含恶意代码或非法字符，会导致安全漏洞或攻击
SQL 注入、XSS 攻击
任何一个后端人员的基本功和必修课，就是要懂得谨慎处理用户输入，进行严格的输入验证、过滤和转义

虽然即使得当的处理，也有可能造成问题
但是最起码不会是这种没有任何技术含量的傻逼问题最后导致高危漏洞

最后说一句：**妈傻逼宝塔

作者: zzr 时间: 2024-2-18 04:30
到了宝塔这体量，不想被按脑袋就得时不时装作技术菜出点问题

作者: forg 时间: 2024-2-18 04:47
关于网传漏洞的说明：
1、这个《堡塔云WAF》漏洞去年就修复了。
2、漏洞只能查看数据，并不能造成什么威胁，危害性较小。
3. btwaf数据库只会存储waf的基础信息和拦截日志不存在任何敏感信息。

注意！！！
此漏洞仅影响《堡塔云WAF》2.6至3.3以下版本

不会影响《宝塔面板》和《Nginx防火墙插件》
网传绕过宝塔面板安全入口为虚假信息

作者: tomcb 时间: 2024-2-18 07:49
电信2G太快了。

作者: 下颚撕裂器 时间: 2024-2-18 08:23
毫无技术含量你倒是自己挖几个0day级的出来显摆下

作者: monk29 时间: 2024-2-18 08:54
坐等楼主出一个比宝塔更好用更安全的面板，我一定马上投靠

作者: piaofu998 时间: 2024-2-18 10:02
只要不会影响《宝塔面板》和《Nginx防火墙插件》我都无视。

作者: acpp 时间: 2024-2-18 10:19
注入这个用参数化查询就解决了吧

作者: AKA舒克 时间: 2024-2-18 10:25
还好不用waf

作者: kasdv 时间: 2024-2-18 10:49
宝塔那是用心良苦,你被按头的时候多帮你凑个说法.

作者: Prk 时间: 2024-2-18 14:49

forg 发表于 2024-2-18 04:47
关于网传漏洞的说明：
1、这个《堡塔云WAF》漏洞去年就修复了。
2、漏洞只能查看数据，并不能造成什么威胁 ...

记住一件事，即使漏洞影响小，也是很大的安全隐患

作者: Prk 时间: 2024-2-18 14:51

下颚撕裂器发表于 2024-2-18 08:23
毫无技术含量你倒是自己挖几个0day级的出来显摆下

你这不是杠精吗我早就不用宝塔做线上环境了我挖它漏洞干什么

欢迎光临全球主机交流论坛 (https://mjj.022333.xyz/)