我以全家人性命发誓我以下说明内容均为真实可靠
1. 云尚发卡是我去年在loc发布的一款开源发卡程序
2.本款程序的内核是经过我之前接手二次开发的一个第三方支付系统而来,因为方便快捷。所有没用市面上成熟的框架体系
3.本次云尚发卡包含KindEditor均为之前我接手二次开发的第三方支付系统,至于那个php类型可上传值是谁加的我无从得知。可能是第三方支付程序之前接手的各个作者
4.如果说我主观意愿加的后门,我不会那么傻逼的传到github让有心人来秀优越感。同时我也不会傻逼到建一个300人的交流群等着今天来出丑
5.如果我故意留后门,我就没必要上loc跟你对峙。我早就夹着尾巴走了。不是来让众人看我出丑。前提是我真的不知道
以下是我demo站的服务器,可以看到我自己的服务器上都存在这个漏洞(当然现在我已经改掉了)
还有
如果你发现漏洞,公示出来我会十分感谢以及感激你。
不要一上来就是我故意的,反正你的发卡系统我发现有漏洞我是肯定会告知你的,不是马上来loc秀一波优越感。因为你是你,我是我。
本次云尚发卡修复方案。
删除/view/editor/php/upload_json.php 24行的php参数
github已经同步修复
错了就要认 挨打要立正。本次我承认这是一个非常重大的漏洞。怪我自己没看清。
但是不是让你秀优越感的方式
如果非得说还是我主观意愿恶意留下后门张口就来,那我还是那个赌
新的证据地址:/forum.php?mod=viewthread&tid=597405&page=1#pid7253259
广西网友:支持楼主,感觉风铃人品不太行。
北京网友:
是这样的,所有的后门都不是自己写的,一定要撇清关系,也只有我这样的傻子认为发出来楼主会认
至于为什么没发给你心里没点逼数吗,漏洞发一发也就罢了,后门我发你妈呢,你可以说不是你写的,你把关系撇干净了,程序存在后门我有说错吗,你洗啊?
你问问zfaka我有没有帮助修过漏洞?
SmartSelect_20191018-233101_Chrome.jpg(9.64 KB, 下载次数: 7)
点击文件名下载附件
内蒙古网友:
还是支持阿彪大佬的说法:不要随意往开源项目的作者的人身上扣帽子,绝对不值得提倡, 更何况是一个开源项目,要是真主观就留后门就不敢放到github上供大家查阅代码了,开源精神不就是大家一起完善程序吗,难道就是为了让大家找出问题然后往作者身上扣屎盆子让作者出丑吗?要是这样谁还去搞开源项目~~
有发现bug,就有完善~~
使用开源项目的mjj,或再次开发的mjj们,都不是审判官,没有权力要求开源的项目的作者自证什么,他不需要~~
有问题了,有bug了,彼此开诚布公,坦诚切磋,完善原来的开源项目~~
另外确切的说,这漏洞不致命 网站文件目录权限全都是777?上传路径的权限难道不是去掉执行权限~~
普通用户的web shell有毛用啊,访问权限都给你锁死了甚至都是不允许远程登录的普通用户,毛用没有,这个漏洞本身不是啥大问题,但是碰到以root用户跑PHP进程的小白这个漏洞就被放大了而已,
北京网友:不用这个,但是感觉风铃技术是牛,人品嘛,看不上
江西网友:不小心写错的可以说是bug,静心构造就是后门了
广西网友:
这件事情,楼主一点也不冤。
楼主的第一次提交地址 https://github.com/assimon/ysfaka/tree/e676b42fe6b634a410763707d230cc89d92b1dc2
可能这里的代码就是楼主所说的“之间接手的别人的代码”
但问题是楼主在readme中丝毫没有提及“本项目借用了xxx项目的内容”,既然把别人的代码当作自己的代码,那么当然得承担别人代码留下的坑。
对于这种明显是刻意设计出的漏洞(未必是楼主设计的),正常人当然认为是楼主留下的后门,我觉得@风铃 之前的判断没有问题。
当然,现在楼主也作出了解释,信不信就见仁见智,最近loc上似乎没有ysfaka的漏洞利用案例,那么从这个角度来说我是相信楼主自己也不知道有这个漏洞的。
—
这件事也能给MJJ提个醒,GitHub上的代码虽说是开源,但是缺乏必要的代码审计。往往会存在两方面的问题:
1. 作者故意留后门
2. 作者本身缺乏安全意识,不具备写出合规程序的能力(类似的问题在猪八戒网也存在)
因此“开源代码”并非是100%安全的免检产品
@风铃 大佬知道这个漏洞,没有进行漏洞利用,就已经算是“人品优秀”了,不知诸位是不是对“人品”有什么误会。
向安全领域前辈致敬
台湾网友:但是一上来就往人身上扣屎盆子的做法绝对不值得提倡, 更何况是一个开源项目,要是真主观就留后门就不敢放到github上供大家查阅代码了,开源精神不就是大家一起完善程序吗,难道就是为了让大家找出问题然后往作者身上扣屎盆子让作者出丑吗?要是这样谁还去搞开源项目啊,
说实话这个事情我挺替作者寒心的,如果是我的话估计就直接把项目关了,这个事情的处理方式让开源社区感觉到了满满的恶意,跟当初CTS-Labs发现AMD的漏洞后直接爆出而没有给厂商修复时间一样,被linus骂个狗血喷头也是活该,
宁夏网友:任何以root用户跑PHP进程的被黑都不冤,连点儿基本的安全常识都木有还玩啥啊,任何程序都会有这样那样的问题,openssl还有心血漏洞呢,发现问题就应该报告给开发者及时修复,这才是正确的处理方式,没见连大嘴Linus都骂安全圈的人无底线呢,
宁夏网友:前排 围观ing
香港网友:路过
江苏网友:
这个修复方案不可以的,只要有后台权限,其他的格式照样上传
你这个JS无法在上传后,在localhost进行格式认证,用Burpsuite轻松可以利用其他格式的头上传
* 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置。
陕西网友:前台站站。
四川网友:感觉全套程序还是要全部自己开发每个功能才行,用了太多第三方的东西,导致漏洞太多,都无从下手解决。
山东网友:散啦散啦,挂发卡的基本不是贵重货,重要的都是直接交易
湖北网友:散啦散啦,挂发卡的基本不是贵重货,重要的都是直接交易
新疆网友:客观来说,我认为风铃没有大问题。楼主一开始态度也不是很好。这是一个很低级的漏洞,实在不应该。很多工具都可以直接查出来。
天津网友:任何以root用户跑PHP进程的被黑都不冤,连点儿基本的安全常识都木有还玩啥啊,任何程序都会有这样那样的问题,openssl还有心血漏洞呢,发现问题就应该报告给开发者及时修复,这才是正确的处理方式,没见连大嘴Linus都骂安全圈的人无底线呢,
台湾网友:所以你是我肚子里的蛔虫?哪天你用第三方包里有漏洞有验证错误,你也是故意留后门?我他妈故意留后门问你搞几把?我还来自取其辱?
湖北网友:大佬就是大佬,情怀境界就是标新立异~~
都是可爱的人~~
为大佬点赞,~~
黑龙江网友:程序员整天不就都在写BUG吗 出点BUG很正常 况且这也不是什么商业产品 没啥好说的
吉林网友:他发帖的时候我就问了,我说是什么漏洞能不能告知一下,我好修复。上来就说我故意留后门,谁能忍
广东网友:不小心写错的可以说是bug,静心构造就是后门了
上海网友:加油…
西藏网友:先不说别人怎么样,你这个程序安全问题存在,得好好改
安徽网友:先不说别人怎么样,你这个程序安全问题存在,得好好改
甘肃网友:
如果那天我把服务器信息给大佬,是不是就没今天这事
江苏网友:8月1号。。。。
吉林网友:真的是可爱的mjj,内心善良无欺~~
也许早这样作了,就没今天的事了~~
江西网友:如果不是用root的,用普通用户的建站,跑php进程,是不是也有可能被黑呀~~
北京网友:这漏洞不致命 你的网站文件目录权限全都是777?上传路径的权限难道不是去掉执行权限
河南网友:但是一上来就往人身上扣屎盆子的做法绝对不值得提倡, 更何况是一个开源项目,要是真主观就留后门就不敢放到github上供大家查阅代码了,开源精神不就是大家一起完善程序吗,难道就是为了让大家找出问题然后往作者身上扣屎盆子让作者出丑吗?要是这样谁还去搞开源项目啊,
说实话这个事情我挺替作者寒心的,如果是我的话估计就直接把项目关了,这个事情的处理方式让开源社区感觉到了满满的恶意,跟当初CTS-Labs发现AMD的漏洞后直接爆出而没有给厂商修复时间一样,被linus骂个狗血喷头也是活该,
黑龙江网友:楼主应该公开二开之前的系统,在源码网下载到原版,一看便能证明楼主清白。
海南网友:都洗洗睡吧
湖北网友:拿到普通用户的web shell有毛用啊,访问权限都给你锁死了甚至都是不允许远程登录的普通用户,毛用没有,这个漏洞本身不是啥大问题,但是碰到以root用户跑PHP进程的小白这个漏洞就被放大了而已,
江苏网友:拿到普通用户的web shell有毛用啊,访问权限都给你锁死了甚至都是不允许远程登录的普通用户,毛用没有,这个漏洞本身不是啥大问题,但是碰到以root用户跑PHP进程的小白这个漏洞就被放大了而已,
内蒙古网友:支持维护开源程序的行为
其实不必剑拔弩张
江苏网友:任何程序都有bug。
但是不首先给作者反馈,而直接公开漏洞且说是别人故意留的 这个做法确实欠妥
北京网友:作为一个小白的我其实不想和两位大佬对喷 其实我很羡慕两位大佬的技术
我呢也没有给两位大佬洗白什么的 下面是我对各位的看法 希望各位不要喷 我也是刚来loc不到1个星期
每个人的原创程序或者二次开发都基本百分之70的留下后门,但是我知道留下的后门绝对都是自己知道 没有告诉别人,留下后门的原因我想各位作者也都知道,第一是特征 第二是盗版 第三是脸皮厚的小学生改版权
其实我也没什么可说的,但是作为一个小白我是非常赞同原创作者留下后门的,但是后门不能又违法他人的利益 比如被黑 删库打包等原因 或者是后门被他人知道了 必须第一时间修复 如果你不打算商业化那后门就不需要了 因为就开源了就没必要查看别人的隐私 条例我就不多说了 如果打算商业化 留下后门我相信各位都知道什么原因
多的话我就不多说了这些话 就是我对各位说的 我说的不代表其他人 也没有和各位对喷 反正这就是我对原创作者的看法
留后门可以 但是别太出格 比较代码是自己码出来的 各位都不希望被共享出去
江西网友:我们项目组今年就来了三个宁可被开除也要坚持用root的SB
湖南网友:怎么讲
江西网友:不要相信用户上传的任何值和文件!
贵州网友:支持阿彪老哥这个观点
上海网友:我认为风铃的做法没什么大问题,后门的问题第一的嫌疑人就是原作者,不管是原作者有意还是无意形成的后门。
北京网友: 身正不怕影子斜,支持楼主
河北网友: 身正不怕影子斜,支持楼主
重庆网友:楼主请爆出原核心作者,大家一起人rou他
吉林网友:虽然不用,但还是支持下。
青海网友:
这件事情,楼主一点也不冤。
楼主的第一次提交地址 https://github.com/assimon/ysfaka/tree/e676b42fe6b634a410763707d230cc89d92b1dc2
可能这里的代码就是楼主所说的“之间接手的别人的代码”
但问题是楼主在readme中丝毫没有提及“本项目借用了xxx项目的内容”,既然把别人的代码当作自己的代码,那么当然得承担别人代码留下的坑。
对于这种明显是刻意设计出的漏洞(未必是楼主设计的),正常人当然认为是楼主留下的后门,我觉得@风铃 之前的判断没有问题。
当然,现在楼主也作出了解释,信不信就见仁见智,最近loc上似乎没有ysfaka的漏洞利用案例,那么从这个角度来说我是相信楼主自己也不知道有这个漏洞的。
—
这件事也能给MJJ提个醒,GitHub上的代码虽说是开源,但是缺乏必要的代码审计。往往会存在两方面的问题:
1. 作者故意留后门
2. 作者本身缺乏安全意识,不具备写出合规程序的能力(类似的问题在猪八戒网也存在)
因此“开源代码”并非是100%安全的免检产品
@风铃 大佬知道这个漏洞,没有进行漏洞利用,就已经算是“人品优秀”了,不知诸位是不是对“人品”有什么误会。
向安全领域前辈致敬
天津网友:用不收费的发卡就是这样。身边小伙伴们用丢东西,不是几百就是一千的。
安徽网友:我个人的观点是,作者应该有一颗不怕别人发现后门漏洞的心,才能更加完善
发现漏洞的报告给作者就好,拿出来卖 或者 撕逼就不太好了,当然 告诉了作者还不修改完善,我也跟着发现漏洞的撕逼作者。:@
辽宁网友:这就是强者的世界吗