全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码美国地址
查看: 5047|回复: 59

宝塔8·23漏洞事件画了张图 不知对不对

[复制链接]
发表于 2020-8-24 01:24:20 | 显示全部楼层 |阅读模式
本帖最后由 index.html 于 2020-8-24 01:25 编辑

基于该贴
https://www.hostloc.com/thread-734644-1-1.html


今天宝塔公司无眠吧
睡觉觉了



 楼主| 发表于 2020-8-24 09:56:15 | 显示全部楼层
根据各位大佬的描述“优化”了下示意图





GIF版本



发表于 2020-8-24 01:37:41 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2020-8-24 09:17:52 | 显示全部楼层
终于明白原理了.
发表于 2020-8-24 01:28:42 | 显示全部楼层
本帖最后由 W4ter 于 2020-8-24 01:29 编辑

图没问题,很生动形象。



我就不懂了,关nginx毛关系
就是宝塔的程序员缓存了phpmyadmin的密码  /pma 未授权访问

前提是你在此之前需要从宝塔面板自动登录过phpmyadmin

这件事 nginx/phpmyadmin/mysql 不背锅

完完全全就是宝塔程序员的锅

点评

Apache有过滤处理,Nginx没有,所以该攻击方式针对Apache无效  发表于 2020-8-24 09:41
发表于 2020-8-24 01:25:45 | 显示全部楼层
笑死了,楼主这图做的很棒!赞!
发表于 2020-8-24 01:28:08 | 显示全部楼层
图做的很不错
 楼主| 发表于 2020-8-24 01:28:12 | 显示全部楼层
Syc 发表于 2020-8-24 01:25
笑死了,楼主这图做的很棒!赞!


是笑“bug虫”太丑萌 还是笑那个安全机制“决堤”的缺口太生动
 楼主| 发表于 2020-8-24 01:42:47 | 显示全部楼层
W4ter 发表于 2020-8-24 01:28
图没问题,很生动形象。

是虫子那里标注个 缓存phpmyadmin密码 是不是更合理了
不懂程序 根据那个帖子是草图和自己用宝塔的感受画的

再看了眼国际版论坛 老外已经收到官方发的邮件了
并且还在问是具体是啥子风险。。。
估计很多老外都还不知道
 楼主| 发表于 2020-8-24 01:44:09 | 显示全部楼层
h20 发表于 2020-8-24 01:37
简单的事情整这么复杂

一句话解释:pma的大门是一次性门口,结果宝塔开了门之后没有关。 ...

那个帖子的图我看了几遍 发现其实看最后一张就行了。。。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2022-12-7 03:47 , Processed in 0.071132 second(s), 13 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表