Share something | CTCGFW's Channel
CTCGFW's channel. --All-inclusive. Main: @ctcgfw_channel Other: @ctcgfw_free @ctcgfw_sbsays
Show more438
Subscribers
No data24 hours
No data7 days
No data30 days
- Subscribers
- Post coverage
- ER - engagement ratio
Data loading in progress...
Subscriber growth rate
Data loading in progress...
Repost from BennyThink's Blog
06:15
Video unavailableShow in Telegram
这是网易新闻的2022年度盘点,和那些妖艳贱货不一样
Repost from 蓝点网订阅频道
Photo unavailableShow in Telegram
#科技资讯 #安全资讯 【重要安全提醒】LastPass公布数据泄露的最新调查:好消息是用户主密码仍然安全,坏消息是除了主密码其他全泄露了,包括用户账号、密码、电子邮件、账单地址、访问的IP、公司名称。同时存储的其他网站账号密码数据库也泄露了,不过数据库是AES256加密的应该不用担心。建议用户立即修改Lastpass账号密码最好连邮箱都换一个,后面肯定有钓鱼邮件:https://ourl.co/96674
Repost from 凛の碎碎念
v2board数据泄露漏洞复盘:
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288
Repost from LoopDNS资讯播报
速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵
影响版本:7.9.6及以下且使用nginx用户
风险等级:极高
处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板]
排查方式: /www / server/ nginx/ sbin 目录下文件
1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51M [木马]
特征:
1.大小4.51
2.时间近期
3.nginx&nginxBAK双文件
入侵者通过该漏洞拥有root权限,受限于面板高权限运行,修改宝塔各种账号密码+SSH账号密码均为无效。
入侵者可以修改nginx配置文件+数据库文件+网站根目录文件
站点可能出现大量日志同时CPU异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮
注: 大量新装用户反馈出现挂马,目前BT官方源可能出现问题,建议暂停安装
Repost from 乙烷日报
Photo unavailableShow in Telegram
【快讯】新华社:中国共产党中央委员会、中华人民共和国全国人民代表大会常务委员会、中华人民共和国国务院、中国人民政治协商会议全国委员会、中国共产党和中华人民共和国中央军事委员会,极其悲痛地向全党全军全国各族人民通告:我们敬爱的江泽民同志患白血病合并多脏器功能衰竭,抢救无效,于2022年11月30日12时13分在上海逝世,享年96岁。
Repost from 蓝点网订阅频道
Photo unavailableShow in Telegram
#科技资讯 #行业资讯 人们决定当个鸵鸟:国际计量大会决定最迟在2035年取消闰秒,对计算机领域来说是个福音。每次出现闰秒时都有不少软件和网站挂掉,究其原因主要是60进制里秒不会60,最多到59,然后从NTP获取到60后直接异常。取消闰秒后会导致国际原子时与地球自转的世界时产生差异,但怎么解决有待后续10年慢慢讨论:https://ourl.co/96075