使用第三方CFP的安全问题，给正在白女票CF pro的提个醒

Nvmz · 发表于 2020-8-13 19:07:29

本帖最后由 Nvmz 于 2020-8-13 19:11 编辑

这两天收了个Cloudflare Partners 闲的没事儿准备重写个面板自用

研究了下API，发现只要你授权过CFP，第三方CFP就能拿到你的user_api_key

这个的重要性不必多说了吧。。

https://api.cloudflare.com/#dns-records-for-a-zone-update-dns-record 这里面的全部可以访问

包括修改dns、删除域等等

一开始只是担心授权时账户密码会被泄漏，无非改个密码就完事儿了，但现在key能被直接获取。。即使你改了我也能拿到最新的

暂时没找到取消授权的方法，有知道的大佬可以分享下。

目前是即使删除域，CFP记录列表中依然可以查询到相关信息

大家以后授权可小心点咯

补个图

CloudRaft · 发表于 2020-8-13 20:17:04

本帖最后由 CloudRaft 于 2020-8-13 20:18 编辑

取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的Plesk CF Pro）

Lemon0 · 发表于 2020-8-13 20:55:00

那怎么哪到用户的key(#／。＼#)

suantong · 发表于 2020-8-13 19:09:13

权限很大，一般都是单独cf和专门的域名弄

Nvmz · 发表于 2020-8-13 19:12:17

Lemon0 发表于 2020-8-13 19:09

那怎么哪到用户的key(#／。＼#)
看我图片里的接口。。只要你在第三方授权过对方就能拿到我目前是收来的CFP能拿到之前所有用户的key 看到他们的所有信息

秋上书 · 发表于 2020-8-13 19:13:20

就那么回事儿吧

Nvmz · 发表于 2020-8-13 19:09:00

suantong 发表于 2020-8-13 19:12

权限很大，一般都是单独cf和专门的域名弄
关键最骚的是没有取消授权的方法正才是最坑的。。我之前不小心点过云筏家的cf授权不过他们应该不会去搞客户毕竟是收费服务

laogui · 发表于 2020-8-13 19:14:11

Nvmz 发表于 2020-8-13 19:15

关键最骚的是没有取消授权的方法正才是最坑的。。我之前不小心点过云筏家的cf授权不过他们应该不会去 ...
跟楼主一样，不小心点了下

wkz · 发表于 2020-8-13 19:15:54

反正自己有CFP一点不慌

vultrlinode · 发表于 2020-8-13 19:12:00

Nvmz 发表于 2020-8-13 19:15

关键最骚的是没有取消授权的方法正才是最坑的。。我之前不小心点过云筏家的cf授权不过他们应该不会去 ...
这么严重呢

不是怕云筏搞客户,而是怕有关部门搞云筏.

		自动登录	找回密码
密码			立即注册