请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
反代如图,在 02.04 之前 nas 一直是飞牛 1.1.11 版本,检查了一下似乎没有被搞,不过还是升级了 1.1.18, 昨天升了 1.1.19, 反代服务还是没停过,也没有什么机密资料在里面。
第 1 条附言 · 14 小时 31 分钟前
为什么发这个疑问,是看到有个人发视频说在主路由或者其他设备上部署 ddns+反代访问飞牛要安全一点,但我感觉是一样的,,,路径穿越的漏洞我知道,也测试过。
 |
1
weicools OP fofa 搜索我的公网 IP ,没有我转发的端口
|
 |
2
rfrftt 15 小时 32 分钟前
路径穿越漏洞这种只要能访问 web 界面就会有风险吧,套免费的 cdn 涵盖的漏洞规则又不含路径穿越这种防护,只能在这中间加一层本地 WAF
|
 |
3
Niphor 15 小时 27 分钟前
fofa 搜索也是有点延迟的吧
|
 |
4
xmdbb 15 小时 25 分钟前
还没明白这次的漏洞吗?
和你用什么透传没关,是飞牛系统的漏洞,而这个漏洞的利用,就是外网能访问后台。 所以你自建或者用 fnconnect 或 frp 都只是达成外网访问后台的方式, 只要能访问后台,就能利用路径穿越漏洞。 而飞牛官方的说法大概意思就是你为什么不用证书双向加密形式,而只依赖他们的账号密码形式登录。 至于 WAF 这种,除非你确保它 100%覆盖这次的漏洞规则,否则还是需要从根源上解决问题(飞牛更新) 最后为什么你没被搞破坏,这个概率问题罢了。 |
 |
5
stinkytofux 15 小时 25 分钟前
为什么到现在还有人搞不清楚飞牛的 bug 原理, 尤其是 V2EX 这个技术论坛.
|
 |
6
diudiuu 15 小时 22 分钟前
他那个是自己搞的那个穿透,他会绕过你设置这些,理论上只要你这个飞牛机器能联网,我认为都可以访问你的机子.
因为现在谁也不知道他那个是怎么写的 |
 |
7
cmos 15 小时 22 分钟前 via Android
是飞牛的系统漏洞,和你怎么实现外网访问没有关联性。唯一的预防方法是完全关闭外网,只使用 easytier 等组建内网。
|
 |
8
Puteulanus 15 小时 21 分钟前
只是纯反代,没有鉴权和 WAF 这种的话,是一样的
不过反代如果没有配访问默认跳转的话,飞牛的那个 web 页面扫应该是扫不出来的(必需知道你的子域名),这点相对安全那么一点 |
|
9
weicools OP @stinkytofux 路径穿越我知道啊,我在 fofa 搜了 fnos ,用搜索的结果试了一下确实能直接访问到别人的文件(ps 没去真的搞别人的 nas 只是测试), 我的意思是我的域名加端口号并没有分享出去,这玩意不是必须知道后台登录页面才可以搞嘛
|
 |
12
mrliule 14 小时 19 分钟前
反代的话,除了换端口,变一下<title>和 logo ,做好最基本的防扫。
|
 |
13
v0rtix 14 小时 12 分钟前
升级到最新版本应该问题不大 只用 vpn 访问比较安全
|
 |
15
dilidilid 7 小时 5 分钟前
搞这么多奇技淫巧干啥。。。你如果个人用的话直接用 VPN ,如果需要挂公网直接访问那不建议你用飞牛
|
 |
16
jamme 3 小时 55 分钟前
我现在是路由器 DDNS IPv6 ,然后部署 Trojan 。移动端代理工具添加家里部署的 Trojan 节点,添加回家分流规则,对外只暴露了 Trojan 的监听端口。之前用的 TS ,每次启动客户端的时候,代理工具都会被挤掉,导致我的分流代理需求和回家无法同时满足。目前可以实现在外正常的代理需求和无感回家,比以前是方便了很多,但是不知道这种方式是不是安全。
 |
Select Language