v2board的漏洞应该是作者故意留的-flx

这个漏洞只有1.6.1才有，明显不是迭代遗留下来的问题，而且漏洞利用也很巧妙，直接f12找到api的key就能通过普通用户获得管理员权限，估计这次风波一些机场主可能损失惨重，一方面user数据全被被泄露了，另一方一些人利用这个漏洞更改机场主的支付或者佣金也让机场主金钱受到巨大损失。
大家认为作者留下这个漏洞的目的是啥？

热议
2楼 gfef 4天前

都埋 GA 啦

3楼 战斗鸡 4天前

作者是王晶的密切合作伙伴

4楼 HOH 4天前

你可以自信点说是公安开发的

5楼 小二的cat 4天前

看了下出问题部分的代码，感觉单纯就是粗心大意引起的bug而已，不用这么阴谋论，这种开源没有收入的软件，指望作者能进行全方位测试还是很难的。

6楼 摸鱼小熊猫 4天前

作为安全从业人员，同意楼上的说法，不要过度解读，这看起来更像是疏忽引发的bug：

问题在于鉴权中间件：
1.6.1版本的token存储方式从session改成了cache，导致作者重写了鉴权代码新的鉴权代码造成了严重的漏洞。v2board的管理员信息和用户信息都在user表，仅用is_admin字段区分是否管理员，管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样，只是多了个is_admin校验。如图所示中间件首先会检查浏览器提交的token是否在服务器cache，也就是redis中。如果有，直接通过鉴权。

问题就在于这，普通用户在登录后生成的token已经在服务器redis表中，所以将普通用户的token直接提交到管理员相关API接口，即可通过鉴权，没有任何权限校验。也就是普通用户的token，可以随意调用管理员的API，相当于拥有了完整的管理员后台权限。

换位思考一下，如果我是作者，真想留后门，为什么不用更巧妙更隐蔽的方式呢

7楼 宣传 4天前

作者肯定是国安

8楼 jackiechan 4天前

作者要是玩阴的，你们一年都发现不了。

9楼 jackyjack 3天前

单纯的粗心大意

10楼 laoniu0711 3天前

差不多得了，免费开发这么久，真要搞小动作你用了人还能在这发帖？

12楼 VPS合租Hostclub 3天前

v2board是啥

13楼 yexm0 3天前

免费的就别指望那么多了

14楼 s920361 3天前

你行，你來開發

15楼 acm 3天前

利好sspanel

16楼 xbnong 3天前

故意留bug 应该不至于，
想留后门比这更好用的不要更多。
估计主要是疏忽大意。

17楼 何处不惹尘埃 3天前

免费的... 用免费的得有用免费的的觉悟

18楼 skywing 3天前

免费开源的你还想怎么样？另外这种贴子真的打击开源生态，如果作者心态差一点，这种贴子看多了，肯定删除代码搞闭源了

19楼 PureK 3天前

作为安全从业人员，同意楼上的说法，不要过度解读，这看起来更像是疏忽引发的bug：

问题在于鉴权中间件：

谢谢大佬解惑

20楼 yushui 3天前

建议删帖

22楼 小白白 3天前

免费的 还比比奶奶个什么劲

23楼 lilyhcn1 3天前

作为一个小的开源软件作者，看到这个话，我觉得很心寒了，我遇到这事，绝对马上闭源。 在看到以后类似的言论，我现有的程序也闭源。 不是我有多牛，是我感觉很心寒。

24楼 blackshot 3天前

用爱发电就是这么停电的

25楼 小学生 3天前

人家开源的，爱用不用，没必要揣测

26楼 xc55 3天前

这也太不尊重开发者了

27楼 萌十七 3天前

开源软件还留后门，不是作死吗

28楼 小号专用马甲 3天前

这真是傻逼论坛 都是开源的 任何人都可以查看代码
留个狗屁的后门啊
loc的这样的垃圾多了去了 啥也不懂 一顿猜忌

29楼 lspro 3天前

有本事别用，白票还唧唧歪歪

30楼 灵尘子 3天前

都免费开源了，作者用爱发电，JJWW，你有本事自己开发一个系统。

32楼 lnx 3天前

php这种脚本语言太乱了，很容易写出bug。

33楼 ChenYFan 3天前

都埋 GA 啦

是的，而且ga一挖还不得了

34楼 acpp 3天前

开源的不敢这样搞吧

35楼 ljxljx 前天13:12

差不多得了

36楼 a274544628 前天23:20

作者是王晶的密切合作伙伴

37楼 image 前天23:29

作为安全从业人员，同意楼上的说法，不要过度解读，这看起来更像是疏忽引发的bug：

问题在于鉴权中间件：

厉害了。。。

38楼 Invoker 昨天08:52

闭源才会故意留后门。。。。开源所有人都能看的

39楼 卟想起床 昨天10:12

之前看到tg上面有机场主说，有个人利用漏洞邀请用户注册然后拿佣金，一开始没注意给他打了200多

40楼 大杀器 昨天10:47

你这是逼着作者删库啊

42楼 6789 6小时前

作者是不是故意不知道，但是lz是绝对故意的

43楼 今晚不吃饭 2小时前

没有必要阴谋论吧

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。