宝塔面板的漏洞毫无技术含量

Prk

看了一下宝塔面板最近爆出来的漏洞

- https://www.freebuf.com/vuls/390723.html
- https://www.prkblog.cn/p/btpanel-early2024-critical-vulnerability.html
- https://www.v2ex.com/t/1015932
- https://www.v2ex.com/t/1015934

首先，第一个 RCE 漏洞和 SQL 注入漏洞为没有处理来自客户端请求传入的内容
另外一个 Auth 漏洞为过度相信 127 地址漏洞

都是低级错误，没有一个漏洞有什么技术含量

我自己写的代码只要用户输入的内容都完全正则限制，操作数据库的时候数字强行转一次数字再做一次判断最后以数组的形式拼接字符串，字符串类型的数据，一定会走函数来处理一遍，甚至会封装这个过程。

我自己写的代码都是我自己粗略审计，都不会有这种低级错误！
宝塔面板公司是网络安全公司，拿了那么多的奖项，那么多的员工，有那么多的资质，结果审计呢？这么简单的问题审不出来？

不知道任何用户输入的内容都会存在安全隐患，都要处理吗？
用户输入的内容有可能包含恶意代码或非法字符，会导致安全漏洞或攻击
SQL 注入、XSS 攻击
任何一个后端人员的基本功和必修课，就是要懂得谨慎处理用户输入，进行严格的输入验证、过滤和转义

虽然即使得当的处理，也有可能造成问题
但是最起码不会是这种没有任何技术含量的傻逼问题最后导致高危漏洞

最后说一句：**妈傻逼宝塔

forg

关于网传漏洞的说明：
1、这个《堡塔云WAF》漏洞去年就修复了。
2、漏洞只能查看数据，并不能造成什么威胁，危害性较小。
3. btwaf数据库只会存储waf的基础信息和拦截日志不存在任何敏感信息。

注意！！！
此漏洞仅影响《堡塔云WAF》2.6至3.3以下版本

不会影响《宝塔面板》和《Nginx防火墙插件》
网传绕过宝塔面板安全入口为虚假信息

zzr

到了宝塔这体量，不想被按脑袋就得时不时装作技术菜出点问题

tomcb

电信2G太快了。

下颚撕裂器

毫无技术含量你倒是自己挖几个0day级的出来显摆下

monk29

坐等楼主出一个比宝塔更好用更安全的面板，我一定马上投靠

piaofu998

只要不会影响《宝塔面板》和《Nginx防火墙插件》 我都无视。

acpp

注入这个用参数化查询就解决了吧

AKA舒克

还好不用waf

kasdv

宝塔那是用心良苦,你被按头的时候多帮你凑个说法.