如有乐享
18.8K subscribers
927 photos
53 videos
33 files
2.52K links
主要更新如有乐享博客内容,以及其他几个朋友的频道干货。偏云服务器,优惠活动,羊毛信息,以及各种BUG。

群组1:https://t.me/ruyonetgroup
群组2:https://t.me/ruyoblog2
博客:https://51.ruyo.net
社区:https://jike.info
Download Telegram
Forwarded from TG信息安全共享频道
v2board数据泄露漏洞复盘:
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞

众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员

管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。

问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。

也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。

https://twitter.com/AyagawaSeirin/status/1603385153480716288
关于Oracle Cloud,童鞋们注意下这个邮件!!!

此通知中标识的Cloud Shell主目录已经180天没有使用,现在标记为“非活动”。“不活跃”的主目录将在最后一次使用后240天自动删除。

我需要采取行动吗?
是的。如果希望为非活动的Cloud Shell用户保留主目录,则必须通知每个非活动的Cloud Shell用户登录到OCI控制台并启动一个新的Cloud Shell会话。这将自动将实例标记为“Active”,并防止用户的主目录被删除。

注意:如果非活动的Cloud Shell用户不再使用主目录,则不需要任何操作,主目录将在240天不活动后自动删除。

相关文章:甲骨文云
阿里云香港的 C 可用区出现严重故障,从早上10点多到现在还没有修复?
今天翻到李永乐2020年的一期视频。
国内早已着手从5个方向研究疫苗了。
视频地址
最近大家比较关注:终端管理工具 MobaXterm中文版有后门问题。

马甲在之前的文章中也特别提到,MobaXterm没有提供中文版或汉化版。

一定要谨慎!一定要谨慎!


MobaXterm介绍 / 在线激活密钥生成
希腊字母不知道是否够用。😱
下一个毒株叫啥名?
本频道年度总结
获取方法:https://t.me/tginfocn/350
Forwarded from 禾令奇Club
bitwarden 扩展更新会 变更API导致扩展无法登陆

自建需要更新docker 镜像

变更前 docker run -d --rm --name bitwarden bitwardenrs/server:latest

变更后 docker run -d --rm --name bitwarden vaultwarden/server:latest
0点开始
这波疫情我认识的人里面目前只有1个人没有阳!我的领导!其他亲戚朋友同事都阳过了。
领导90后,21年中旬从美国留学回国(在美国阳过),彻底放开的时候刚打国内第三针疫苗。
我只是表达的是客观真实的情况。无自己主观想法。
近日,RustDesk 发文称有一位热心用户发来邮件告知,有一个叫天城网络的公司,重新编译开源软件 RustDesk 上传到 Sunmi 商城里面,并且收费使用,价格显示15 元/月。

RustDesk 开源协议:AGPL-3.0 license
除非获得商业授权,否则无论以何种方式修改或者使用代码,都需要开源。

像报道中的这种自己搭建服务器,编译上传应用,提供付费的远程桌面服务,是不是也不算违反开源协议?😳
猜猜最后结果
Forwarded from JIKE社区