主机参考
| 主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
| 我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
|
今天陆续收到交流群里朋友发我的坛子链接,说我程序出事了。 原文章:https://www.hostloc.com/thread-454219-1-1.html 我想说明几点: 1.我的源码全部放在github上面,有没有后门我相信大家心里清楚。 2.这位朋友卡密损失第一时间就给我扣上了帽子,你怎么确定是程序有问题导致而不是服务器的安全? 3.用云尚发卡的都知道,我一不收你们钱,二没有加密代码,请注意!没有加密任何代码!! 4.至于到底是不是云尚发卡的问题这个还需要分析这位朋友的网站日志,朋友们可以选择不用,但是请事情没弄清楚之前不要乱扣帽子 5.我做这个东西完全是为了情怀,无论是功能还是更新速度上可以说是没有任何一家收授权的能比上。 话我先说到这,仁者见仁智者见智! 10:24分更新: 你们可以说也许是我能力不足,或者有其他大能来分析? 这件事情我会持续关注,如果还有朋友出现此类问题,云尚发卡就下架并停止开源,以防更多人朋友遭受损失。 源码在github,欢迎大牛分析后门!http://github.com/assimon/ysfaka 另外,我建议朋友们一次上库存不用上太多,这个世界上没有绝对安全的系统! 一次上架10-20张即可,云尚发卡有自动库存告警机制,库存不足再去加就行! 求求朋友们出行问题先自己查查看,有没有服务器漏洞,弱密码,或者是业务问题? 在我群里的朋友都知道,我从上周起官网就一直属于北岸关站状态,而且github上面也有公告, |
各路大神的回复:
注册: 其他的先不说 光你里面用着 5.2.14 的 phpmailer, 就够人家日进去无数次了 ————- 安全开发确实需要关注的比较多, 楼主既然都用composer了 这些开源组件可以用composer来管理, 就不要复制人家代码出来扔在自己的lib里面 vendor的体积大就大呗
codeas: 先顶作者一波,无论如何,对使用者来说,免费软件意味着风险自担,毕竟作者是无偿提供给你的,你可以选择不用。商业软件你可以黑一波,免费代码这个真没得黑。
风铃: 这个漏洞的利用方式是shell脚本执行, 通过构造畸形收货邮箱实现服务器任意命令执行 我没有具体看, 当然有可能不是这个的原因, 但这个确实是一个漏洞
lwsg1987: https://www.exploit-db.com/exploits/40969/
dream7758521: 是不是软件有洞被大佬黑了?
风铃: 顶无偿开源社区精神!
风铃: Mark
thymol: 围观
南思: 所以还是好好分析一波,看看是哪里出问题了
救世主: 建议先自查 不要打击了开源的精神
hosty: 帮顶,
crysta1: 支持,分享本身就是一种精神。原因查明再下结论。
注册: 我的也是用楼主的,目前平安!应该不是程序问题。
注册: 后排出售香烟啤酒饮料,话说,开源不加密的东西,要是怪作者,可能以后就没有好东西开源了啊。
徐佩楠: 我也用楼主的 谢谢 目前没出现问题
dforel: 支持开源,相信大佬!
wagumaxida: 支持楼主,网站被黑,作者源码不该背锅!
svipwhw: 我的程序没有上传logo的地方
thymol: 支持大佬 没毛病
kujiajia521: 先顶作者一波,无论如何,对使用者来说,免费软件意味着风险自担,毕竟作者是无偿提供给你的,你可以选择不用。商业软件你可以黑一波,免费代码这个真没得黑。
codeas: 其他的先不说 光你里面用着 5.2.14 的 phpmailer, 就够人家日进去无数次了 ————- 安全开发确实需要关注的比较多, 楼主既然都用composer了 这些开源组件可以用composer来管理, 就不要复制人家代码出来扔在自己的lib里面 vendor的体积大就大呗
注册: 支持楼主的好程序!
注册: 怎么个日法,大佬我想听听你的意见,我好改?
guonning2000: 首先我是支持楼主的!作为作者免费拿出来分享给大家且开源。 即便是发卡程序除了问题别人漏洞利用了。作者没收你一分钱。凭什么保护您的安全? 怕有漏洞自己写一个不是更安全。没能力自己写。用人家免费的程序。还要给你背锅?
codeas: https://www.exploit-db.com/exploits/40969/
word: python看不明白。 我的意思是怎么利用这个漏洞?外部注入?我的email发送全部是在内部实现。邮件输入点做了sql,xss效验?
风铃: lib里面的代码是历史原因,后来使用composer一直没改。后面会全部 用composer加载第三方组建
codeas: 支持大佬的开源精神 相信大佬的源码没毛病
codeas: 无加密,纯开源,相信楼主,至于有没有人挖到bug就不好说了,毕竟开源的东西不是谁都大公无私会去github报的
tiaoyah6: 大佬你的头像MJJ(没鸡鸡)啊
s07q: 这个漏洞的利用方式是shell脚本执行, 通过构造畸形收货邮箱实现服务器任意命令执行 我没有具体看, 当然有可能不是这个的原因, 但这个确实是一个漏洞
注册: 支持大佬
注册: 支持
weilai丶: 开源的哦,楼主是不可能挂后台.先高清状况吧
binbinbinye: 支持大佬无偿开源还一直更新!
huayixin: 先fork一波
千机: 顶开源精神。。其他不管,。。
hjvn2211445: 支持开源!请查明原因
blackmoonth: 支持一下开源
注册: 支持楼主
注册: 支持一下作者
不要怂: 顶楼主开源精神
mrjoel: 商业化用的东西最好还是收费 楼主这种本来就是开源的没什么可指责的 只是有大佬提出来的建议可以做改进
why?: 开源精神应该鼓励,使用者在用得时候要注意,开源作者当然也有查明原因的义务,毕竟
dream7758521: 日志打包出来 大家一起看一看
teomico: 开源还没加密核心代码,本分就是一种分享精神。支持楼主!
左手写爱: 支持下大佬……
注册: 开源还没加密核心代码,本分就是一种分享精神。支持楼主!
注册: 支持大佬开源
Jovker: 支持楼主一下,有开源精神的确实太少了,最近又出了国人开源代码里藏挖矿的,楼主这样的已经非常难能可贵了。
linhai: 支持支持,强烈 支持,正在学习中
oldchen: 不能乱扣帽子,这样会越来越没人开源了。。。
onepeople: 支持开源,相信大佬!
leaveoff: 大佬你的发卡 修改后的主题源码可以分享么?很好看
这几篇文章你可能也喜欢:
- 暂无相关推荐文章
本文由主机参考刊发,转载请注明:【澄清】关于云尚发卡,我是作者! - 国外vps主机测评 https://zhujicankao.com/8457.html
评论前必须登录!
注册