共计 1014 个字符,预计需要花费 3 分钟才能阅读完成。
内容最后由 虎谷 于 2022-12-17 21:39 编辑 V2Board 机场面板高危漏洞!400W 机场用户数据遭泄露!漏洞利用之简单,危害之巨大令人发指!复现 V2Board 面板漏洞数据泄露过程 https://youtu.be/yfneS2R-Pn8 简要说明:普通用户通过 api 提权 以管理员身份进入 机场管理面板开源机场面板 没有任何安全审计。。。开源简直就是大大的笑话。。。米老鼠 2022-12-17 21:33 2 需要更新版本了,作者还跑路了 truecolor 2022-12-17 21:36 3400W 个机场?战斗鸡 2022-12-17 21:37 4 内容最后由 战斗鸡 于 2022-12-17 21:55 编辑 哈哈 应该是作者故意留的后门 里应外合 方便晶哥年底冲业绩一群白嫖思维的人 怎么可能会主动去做代码安全审 被低级洞日了 只能说 活该隔壁 ssp 开发至今 赚钱的也没见有多少给开发者打赏的 可见贵圈子尽是些吃水忘泉的傻 x antbt 2022-12-17 22:02 5https://t.me/SukkaChannel 关于这次 V2Board 数据泄露,我没有什么细节或者内情可分享的。不过借此机会,我倒是愿意聊聊另外一个发现。V2Board 在其面板的管理侧,内置了一个不可关闭的 Google Analytics 4(见图 1):https://github.com/v2board/v2board/blob/08653fb2cd0a823f6c56999019917b7de071e2da/resources/views/admin.blade.php#L45 在 V2Board 面板 管理侧 前端的编译产物中也可以看到(见图 2):https://github.com/v2board/v2board-admin/blob/50b6058bf67fa9cea13f8a6cb9d0cd8d3c30a42b/index.html#L9 对该 Google Analytics 4 ID 进行搜索可以发现,目前有一项由杭州安恒信息技术股份有限公司提交申请,尚未审批通过的专利「提供翻墙服务网站的识别方法、装置、设备及存储介质」CN113505323A:https://patents.google.com/patent/CN113505323A/zh,发明人为 赵晨、范渊、杨勃。在该专利中,SSPanel 的 Staff 页面和 V2Board 管理侧前端的 Google Analytics 都是重点检测特征(图 3)。
