我也说说发卡的事吧

搬瓦工机场JMS

之前用了某mjj的发卡,一直很好用。然后某一次接了个小活,正好需要用户系统和后台。于是就直接用这个发卡的源码魔改了一套系统出来。。。再后来,做测试的时候,发现代码有bug

bug很简单,利用成功的话,效果是不需要密码就可以用管理员的身份进后台。。。利用的条件是,知道后台登陆地址就可以

其实,从代码逻辑上看,我觉得应该不是作者故意的。只是个bug而已。

比较重要的业务,最好要用成熟的商业源码,或者要自己读一读比较关键的部分,有时候做一些非常简单的测试就可以发现漏洞
甘肃网友:如果是ZFAKA
它的文档已经做过安全说明了
包括改后台
甘肃网友:具体是哪个发卡你倒是说出来让mjj放心呀
云南网友:看来还是得改改后台地址
……
安徽网友:嗯,说的在理
澳门网友:zfaka???
湖北网友:说出来不是害了更多的人?我发现的那个漏洞,改管理地址可破,只要让攻击者猜不到管理地址就行
湖北网友:为啥我改了那三个地方后访问404呀!
香港网友:应该是
上海网友:
这货改地址很麻烦,不仅首字母要求大写,改了地址还得改两个配置文件。每次升级也得再改,按照教程修改完就没问题了,我这ok的

复制代码
山西网友:
这货改地址很麻烦,不仅首字母要求大写,改了地址还得改两个配置文件。每次升级也得再改,按照教程修改完就没问题了,我这ok的

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏