这是一个创建于 3768 天前的主题,其中的信息可能已经有所发展或是发生改变。
鄙人自己在折腾个 Swift 的社区 http://swiftcn.io
在修改代码时发现了个严重漏洞,能在没授权的情况下删除网站数据,并已经在作者网站验证过,给作者发邮件好几天了,也没见回,也不知道是不是发邮件的姿势不对,所以想到了吼一声。
由于漏洞危险级别急高,就不公布细节了。如果有人也用这份代码搭建社区,可以联系我要漏洞细节和修复代码。
提前祝大家中秋快乐
来给我涨个用户呗^_^
 |
1
virusdefender 2015 年 9 月 25 日
|
 |
2
ibcker OP @virusdefender 好办法···
|
 |
3
jadecoder 2015 年 9 月 25 日
[并已经在作者网站验证过]
所以你把作者网站删了么? |
 |
5
ob 2015 年 9 月 25 日
这个有匿名发表文章和评论的功能吗?
|
 |
6
lxjsmdc 2015 年 9 月 25 日
|
 |
7
justjavac 2015 年 9 月 25 日 via Android
Flarum 有漏洞没?
|
 |
8
GG668v26Fd55CP5W 2015 年 9 月 25 日
楼主的网站打开蛮快的
|
 |
9
lincanbin 2015 年 9 月 25 日
|
|
10
virusdefender 2015 年 9 月 25 日
@ibcker 这种问题最好不要私下通知,防止各种纠纷,尤其是和公司打交道。
|
 |
11
tianrunlin 2015 年 9 月 25 日
@lxjsmdc 能值 300 ?
|
|
13
ibcker OP @virusdefender 涨姿势了····
|
 |
14
zhicheng 2015 年 9 月 25 日
TextArea.com 有吗?
|
 |
15
Moker 2015 年 9 月 25 日
是自己 PHPHUB 本身的问题 还是 laravel 的问题?
|
 |
19
trimleo 2015 年 9 月 25 日
我联系一下 感谢楼主反馈
|
 |
20
chuanwu 2015 年 9 月 25 日
300 要了 哈哈哈哈哈...
|
 |
21
xuxu 2015 年 9 月 25 日
呼 能提示一下吗? 我搭了一个
|
 |
22
mornlight 2015 年 9 月 25 日
哈哈哈哈哈,能告诉我你是怎么发现的么
|
 |
23
Newbing 2015 年 9 月 25 日
看了一下,作者 github 里面代码已修复,属于权限控制问题。
|
 |
24
lijinma 2015 年 9 月 25 日
|
 |
25
NauxLiu 2015 年 9 月 25 日
@ibcker 楼主,我发邮件给你了,不知道我修复这个是不是你发现的问题?
https://github.com/summerblue/phphub/commit/fb36c3140f8978920b4e986925c51bfda68af1c3 |
|
28
xuxu 2015 年 9 月 25 日
突然感觉所有的 resource 的 controller 都是有权限问题。。。。
|
 |
29
ydhcui 2015 年 9 月 25 日
哈哈 乌云邀请码 300 一个? 200 一个谁要 你要多少我有多少
|
 |
31
orFish 2015 年 9 月 25 日
删除 topic 没做权限控制
|
 |
33
rootooroot 2015 年 9 月 25 日
@lxjsmdc 帐号能卖 300 ? 大量出售乌云帐号啦 2333
|
 |
34
leekelby 2015 年 9 月 25 日
各种没做权限控制...
|
 |
38
vulbox 2015 年 9 月 25 日
欢迎来漏洞盒子提交 https://www.vulbox.com/ 高危漏洞会有奖金哦!
|
 |
40
batilo 2015 年 9 月 25 日
妈蛋, 看成了 pornhub
|
 |
42
lyping 2015 年 9 月 25 日
phphub 只能用 github 登录吗?有自己的账户系统吗?
|
Select Language