我也说说发卡的事吧

logic90

之前用了某mjj的发卡，一直很好用。然后某一次接了个小活，正好需要用户系统和后台。于是就直接用这个发卡的源码魔改了一套系统出来。。。再后来，做测试的时候，发现代码有bug

bug很简单，利用成功的话，效果是不需要密码就可以用管理员的身份进后台。。。利用的条件是，知道后台登陆地址就可以

其实，从代码逻辑上看，我觉得应该不是作者故意的。只是个bug而已。

比较重要的业务，最好要用成熟的商业源码，或者要自己读一读比较关键的部分，有时候做一些非常简单的测试就可以发现漏洞

tufu001

如果是ZFAKA
它的文档已经做过安全说明了
包括改后台

robot

具体是哪个发卡你倒是说出来让mjj放心呀

heian9119

看来还是得改改后台地址
……

reidme

嗯，说的在理

蜡笔小星星

"

说出来不是害了更多的人？我发现的那个漏洞，改管理地址可破，只要让攻击者猜不到管理地址就行

logic90

heian9119 发表于 2019-10-18 22:58

看来还是得改改后台地址
……
为啥我改了那三个地方后访问404呀！

羽檬

本帖最后由 heian9119 于 2019-10-18 23:51 编辑

羽檬 发表于 2019-10-18 23:05

为啥我改了那三个地方后访问404呀！

这货改地址很麻烦，不仅首字母要求大写，改了地址还得改两个配置文件。每次升级也得再改，按照教程修改完就没问题了，我这ok的
[ol]

https://github.com/zlkbdotnet/zfaka/wiki/%E5%90%8E%E5%8F%B0%E5%9C%B0%E5%9D%80%E5%AE%89%E5%85%A8%E5%A2%9E%E5%BC%BA%E5%A4%84%E7%90%86[/ol]复制代码
最近刚刚好想装一个发卡程序，学习记录一下

孤单月色

那个啊