鄙人自己在折腾个 Swift 的社区 http://swiftcn.io
在修改代码时发现了个严重漏洞,能在没授权的情况下删除网站数据,并已经在作者网站验证过,给作者发邮件好几天了,也没见回,也不知道是不是发邮件的姿势不对,所以想到了吼一声。
由于漏洞危险级别急高,就不公布细节了。如果有人也用这份代码搭建社区,可以联系我要漏洞细节和修复代码。
提前祝大家中秋快乐
来给我涨个用户呗^_^
1
virusdefender 2015-09-25 11:48:44 +08:00
|
2
ibcker OP @virusdefender 好办法···
|
3
jadecoder 2015-09-25 11:51:53 +08:00
[并已经在作者网站验证过]
所以你把作者网站删了么? |
5
ob 2015-09-25 12:04:49 +08:00
这个有匿名发表文章和评论的功能吗?
|
6
lxjsmdc 2015-09-25 12:07:30 +08:00
|
7
justjavac 2015-09-25 12:08:57 +08:00 via Android
Flarum 有漏洞没?
|
8
falcon05 2015-09-25 12:14:43 +08:00
楼主的网站打开蛮快的
|
9
lincanbin 2015-09-25 12:14:50 +08:00
|
10
virusdefender 2015-09-25 12:16:09 +08:00
@ibcker 这种问题最好不要私下通知,防止各种纠纷,尤其是和公司打交道。
|
11
tianrunlin 2015-09-25 12:17:09 +08:00
@lxjsmdc 能值 300 ?
|
13
ibcker OP @virusdefender 涨姿势了····
|
14
zhicheng 2015-09-25 12:20:55 +08:00
TextArea.com 有吗?
|
15
Moker 2015-09-25 12:21:51 +08:00
是自己 PHPHUB 本身的问题 还是 laravel 的问题?
|
19
trimleo 2015-09-25 13:18:22 +08:00
我联系一下 感谢楼主反馈
|
20
chuanwu 2015-09-25 13:18:40 +08:00
300 要了 哈哈哈哈哈...
|
21
xuxu 2015-09-25 14:45:24 +08:00
呼 能提示一下吗? 我搭了一个
|
22
mornlight 2015-09-25 15:11:39 +08:00
哈哈哈哈哈,能告诉我你是怎么发现的么
|
23
Newbing 2015-09-25 15:22:08 +08:00
看了一下,作者 github 里面代码已修复,属于权限控制问题。
|
24
lijinma 2015-09-25 15:24:56 +08:00
|
25
NauxLiu 2015-09-25 15:29:51 +08:00
@ibcker 楼主,我发邮件给你了,不知道我修复这个是不是你发现的问题?
https://github.com/summerblue/phphub/commit/fb36c3140f8978920b4e986925c51bfda68af1c3 |
28
xuxu 2015-09-25 15:32:20 +08:00
突然感觉所有的 resource 的 controller 都是有权限问题。。。。
|
29
ydhcui 2015-09-25 15:34:17 +08:00
哈哈 乌云邀请码 300 一个? 200 一个谁要 你要多少我有多少
|
31
orFish 2015-09-25 15:44:36 +08:00
删除 topic 没做权限控制
|
33
rootooroot 2015-09-25 16:00:35 +08:00
@lxjsmdc 帐号能卖 300 ? 大量出售乌云帐号啦 2333
|
34
leekelby 2015-09-25 16:03:52 +08:00
各种没做权限控制...
|
38
vulbox 2015-09-25 16:55:57 +08:00
欢迎来漏洞盒子提交 https://www.vulbox.com/ 高危漏洞会有奖金哦!
|
40
batilo 2015-09-25 17:14:12 +08:00
妈蛋, 看成了 pornhub
|
42
lyping 2015-09-25 22:14:54 +08:00
phphub 只能用 github 登录吗?有自己的账户系统吗?
|