使用第三方CFP的安全问题，给正在白女票CF pro的提个醒

Nvmz

这两天收了个Cloudflare Partners 闲的没事儿准备重写个面板自用

研究了下API，发现只要你授权过CFP，第三方CFP就能拿到你的user_api_key

这个的重要性不必多说了吧。。

https://api.cloudflare.com/#dns-records-for-a-zone-update-dns-record 这里面的全部可以访问

包括修改dns、删除域等等

一开始只是担心授权时账户密码会被泄漏，无非改个密码就完事儿了，但现在key能被直接获取。。即使你改了 我也能拿到最新的

暂时没找到取消授权的方法，有知道的大佬可以分享下。

目前是即使删除域，CFP记录列表中依然可以查询到相关信息

大家以后授权可小心点咯

补个图

CloudRaft

取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的Plesk CF Pro）

Nvmz

limitless 发表于 2020-8-13 23:47
好像使用两步验证的话是不是就获取不到了吧?之前我用别人的cfp，我开了两步认证之后，就无法在cfp平台登录 ...

这个我今天试下 有可能是能阻止获取的 昨天晚上我在官方社区里也看人提到两步验证之后CFP无法使用的问题

额头有王的喵

找个假的用

loogoo

只能弄俩账号了，给弄cfp的单独弄个账号

伊斯蓝

无所谓
自己有cfp
感觉没啥用放着吃灰

hjh142857

确实有点坑啊。。我之前用大号给小号开管理员授权，然后cfp登陆小号来管理的，配置完就取消授权。。。关键是我记不清大号有木有在哪家cfp登陆过了

hjz

CloudRaft 发表于 2020-8-13 20:17
取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的Plesk CF ...

云筏大厂值得信赖，不过https://cf.cloudraft.cn/似乎在国内打不开，希望大佬看看。

Nvmz

qmsht 发表于 2020-8-13 21:37
本来就不用密码，看看acme.sh里面CF两种方式操作验证域名

密码倒无所谓 key能拿到也无所谓 坑的是无法取消授权 后续能一直拿key

十里山路不换

这种情况只能去官方论坛反馈