【广告】Larkyun
活动机型:所有地区 所有独享带宽机型
活动1:单次减200优惠码:RTM67GW3KA
活动2:循环95折优惠码: RMOGA3478Y
活动说明:活动优惠码二选一,活动时间截止至12月21日,活动优惠码仅适用于新购机器
=================================
*所有独享带宽机器默认赠送双IP 宁波/济宁额外配置IPV6地址
*机器默认使用VDS虚拟机(可保证性能跑满) 带宽大于3G免费赠送物理机
=================================
群组:https://t.me/larkyun
测试联系:@daidemo
网站:https://www.larkidc.com
活动机型:所有地区 所有独享带宽机型
活动1:单次减200优惠码:RTM67GW3KA
活动2:循环95折优惠码: RMOGA3478Y
活动说明:活动优惠码二选一,活动时间截止至12月21日,活动优惠码仅适用于新购机器
=================================
*所有独享带宽机器默认赠送双IP 宁波/济宁额外配置IPV6地址
*机器默认使用VDS虚拟机(可保证性能跑满) 带宽大于3G免费赠送物理机
=================================
群组:https://t.me/larkyun
测试联系:@daidemo
网站:https://www.larkidc.com
👎17👍1👏1🕊1
咸鱼科技 欧洲法兰克福9929 VPS 三周年特别款
2C/2G内存/20G SSD/1500G@150mpbs 年付399元
演示站: http://saltyfish-fra-elite.gubo.org/
三网监控: https://ping.gubo.org/?target=Europe.saltyfish_fra_elite
2x vCore(s)
2GB RAM
20GB SSD
1500GB Traffic
150Mbps Network Port
Powered by AMD Ryzen CPU
399 CNY/年
24小时内退款政策不适用
不允许进行付费更换IP地址 (仅保证首次分配中国大陆方向可用IP地址,若分配到被阻断地址,请提交工单处理)
下单地址: https://portal.saltyfish.io/aff.php?aff=82&pid=144
Looking Glass: https://lg.saltyfish.io/
IPv4: 38.59.230.11
三网回程 中国联通 AS10099 (9929) Premium 优化链路
2C/2G内存/20G SSD/1500G@150mpbs 年付399元
演示站: http://saltyfish-fra-elite.gubo.org/
三网监控: https://ping.gubo.org/?target=Europe.saltyfish_fra_elite
2x vCore(s)
2GB RAM
20GB SSD
1500GB Traffic
150Mbps Network Port
Powered by AMD Ryzen CPU
399 CNY/年
24小时内退款政策不适用
不允许进行付费更换IP地址 (仅保证首次分配中国大陆方向可用IP地址,若分配到被阻断地址,请提交工单处理)
下单地址: https://portal.saltyfish.io/aff.php?aff=82&pid=144
Looking Glass: https://lg.saltyfish.io/
IPv4: 38.59.230.11
三网回程 中国联通 AS10099 (9929) Premium 优化链路
👎11💩10👍3🤮1
Offers — LowEndTalk
From $12/yr - OpenVZ 7 VPS Hosting - /64 IPv6 - SolusVM
From $12/yr - OpenVZ 7 VPS Hosting - /64 IPv6 - SolusVM
Offers — LowEndTalk
HC ★ New York Dedicated Server ★ 6 Cores, 250 Mbps Bandwidth - $79/mo
HC ★ New York Dedicated Server ★ 6 Cores, 250 Mbps Bandwidth - $79/mo
🔥1
Offers — LowEndTalk
GreenCloud | Black Friday and Cyber Monday Mega Sale | Double Up Promotions
GreenCloud | Black Friday and Cyber Monday Mega Sale | Double Up Promotions
👍2
👎1
#投稿 来自 @Sam94566
RuiCloud 南昌联通上架
国内互联优秀,国际方向稳定
测试IP:118.212.134.1
独享300M
CPU 4核
内存 4G
IP数量 1个(购买后可附加)
系统盘 15G
2400/月
独享500M
CPU 8核
内存 8G
IP数量 1个
系统盘 15G
3500/月
独享1000M
CPU 8核
内存 16G
IP数量 1个
系统盘 15G
6500/月
下单地址
https://rui.zg.gd/server/purchase?area_id=5&cluster_id=0
群组:https://t.me/RuiCloud
讨论:https://t.me/RuiCloudChat
业务联系:Sam94566
RuiCloud 南昌联通上架
国内互联优秀,国际方向稳定
测试IP:118.212.134.1
独享300M
CPU 4核
内存 4G
IP数量 1个(购买后可附加)
系统盘 15G
2400/月
独享500M
CPU 8核
内存 8G
IP数量 1个
系统盘 15G
3500/月
独享1000M
CPU 8核
内存 16G
IP数量 1个
系统盘 15G
6500/月
下单地址
https://rui.zg.gd/server/purchase?area_id=5&cluster_id=0
群组:https://t.me/RuiCloud
讨论:https://t.me/RuiCloudChat
业务联系:Sam94566
Telegram
全国莞式海选会所
预约不用定金,直接安排,预约好时间就行。会所联盟有全国一二线大大小小将近200+会所加盟,全部有押金交付,不用担心,凡是有出现什么事儿的,补贴给各位顾客,为各位免除后顾之忧。目前有会所的城市有北京 上海 广州 重庆 成都 深圳 武汉 长沙 南京 沈阳 杭州 郑州 昆明 无锡 青岛 西安 嘉兴 合肥 佛山 贵阳 宁波 大连 廊坊 临沂 芜湖 湖州 淄博 南昌 潍坊 东莞 南通 厦门 盐城 徐州 苏州 济南 太原 保定 珠海 常州 绍兴 沧州 烟台 德州 台州 泰州 乌鲁木齐 包头 兰州 石家庄 哈尔滨 宜宾
#投稿 匿名投稿
TmhHost闪购美国特惠独服
年底特价物理机
388元/月
E3-1230v5
内存 16G
250G SSD
30Mbps CN2 GIA/50Mbps9929任选
IPv4 2个
628/月
E5-2680v4
内存 32G
500G SSD
30Mbps CN2 GIA/50Mbps 9929任选
IPv4 2
CN2 GIA测试IP:45.145.228.55
9929测试IP:45.145.229.95
购买链接: https://www.tmhhost.com/cart?fid=4&gid=93
TmhHost闪购美国特惠独服
年底特价物理机
388元/月
E3-1230v5
内存 16G
250G SSD
30Mbps CN2 GIA/50Mbps9929任选
IPv4 2个
628/月
E5-2680v4
内存 32G
500G SSD
30Mbps CN2 GIA/50Mbps 9929任选
IPv4 2
CN2 GIA测试IP:45.145.228.55
9929测试IP:45.145.229.95
购买链接: https://www.tmhhost.com/cart?fid=4&gid=93
#投稿 来自 @jgdggm
秋霖云
成都移动
双ip 独享300M/¥2200
双ip 独享500M/¥3600
有大佬要了解一下pm @jgdggm
购买地址:
https://bffyun.com
售后群组
@qiulinyun
-------------------------------------
秋霖云
成都移动
双ip 独享300M/¥2200
双ip 独享500M/¥3600
有大佬要了解一下pm @jgdggm
购买地址:
https://bffyun.com
售后群组
@qiulinyun
-------------------------------------
#投稿 来自 @daidemo
🐏了真的很难受 ,给🐏了的兄弟们发一波特惠福利
【韶关/济宁】独享机型 200M以上机器循环-500 限量10台 每用户仅使用一次
优惠码:FYK81K4ZXE
=================================
*所有独享带宽机器默认赠送双IP 宁波/济宁额外配置IPV6地址
*机器默认使用VDS虚拟机(可保证性能跑满) 带宽大于3G免费赠送物理机
=================================
群组:https://t.me/larkyun
测试联系:@daidemo
网站:https://www.larkidc.com
🐏了真的很难受 ,给🐏了的兄弟们发一波特惠福利
【韶关/济宁】独享机型 200M以上机器循环-500 限量10台 每用户仅使用一次
优惠码:FYK81K4ZXE
=================================
*所有独享带宽机器默认赠送双IP 宁波/济宁额外配置IPV6地址
*机器默认使用VDS虚拟机(可保证性能跑满) 带宽大于3G免费赠送物理机
=================================
群组:https://t.me/larkyun
测试联系:@daidemo
网站:https://www.larkidc.com
👎25
Forwarded from 凛の碎碎念
v2board数据泄露漏洞复盘:
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288
👍4