会员风铃曝光包括zfaka、云尚发卡、彩虹代挂的一些安全问题

云尚发卡和ZFAKA等自动发卡平台爆出有漏洞，提请相关站长注意。昨天hostloc论坛会员风铃在论坛卖各种发卡漏洞，包括ZFAKA、云尚发卡、彩虹代挂等，从而暴露了一些安全问题。风铃公布后门如下:

https://github.com/assimon/ysfaka/blob/9fdfbd0b0e36075969722bd68f6547ee0843b564/view/editor/php/upload_json.php#L24

代码: 'file' => array('doc', 'docx', 'xls', 'xlsx', 'ppt', 'txt', 'zip', 'rar', 'php', 'bz2'),

我来解释一下这行代码什么意思，这个文件本来是某个编辑器里面的上传脚本，本来是没有漏洞的。

但是被修改成允许上传php文件，因此可以直接上传PHP木马到服务器。

好了，你说不是后门，那你倒是解释一下你把别人的编辑器上传代码的白名单里面加一个php后缀是几个意思？

文件是你自己写的也就罢了，你能编一编说是写错了，写了几十个后缀多写了个php，现在好了，这是别人的代码，你为什么要修改成允许上传php文件，居心何在？你可以说不是你改的？有人信吗？

至于怎么上传木马，直接给这个文件所在url，post一个PHP木马就行了，返回地址就是。

云尚发卡回复：我以全家人性命发誓我以下说明内容均为真实可靠。

1. 云尚发卡是我去年在loc发布的一款开源发卡程序

2.本款程序的内核是经过我之前接手二次开发的一个第三方支付系统而来，因为方便快捷。所有没用市面上成熟的框架体系

3.本次云尚发卡包含KindEditor均为之前我接手二次开发的第三方支付系统，至于那个php类型可上传值是谁加的我无从得知。可能是第三方支付程序之前接手的各个作者

4.如果说我主观意愿加的后门，我不会那么傻逼的传到github让有心人来秀优越感。同时我也不会傻逼到建一个300人的交流群等着今天来出丑

5.如果我故意留后门，我就没必要上loc跟你对峙。我早就夹着尾巴走了。不是来让众人看我出丑。前提是我真的不知道

以下是我demo站的服务器，可以看到我自己的服务器上都存在这个漏洞（当然现在我已经改掉了）。错了就要认 挨打要立正。本次我承认这是一个非常重大的漏洞。怪我自己没看清。

网友评价：不要随意往开源项目的作者的人身上扣帽子，绝对不值得提倡, 更何况是一个开源项目，要是真主观就留后门就不敢放到github上供大家查阅代码了，开源精神不就是大家一起完善程序吗，难道就是为了让大家找出问题然后往作者身上扣屎盆子让作者出丑吗？要是这样谁还去搞开源项目~~有发现bug，就有完善~~使用开源项目的mjj，或再次开发的mjj们，都不是审判官，没有权力要求开源的项目的作者自证什么，他不需要~~有问题了，有bug了，彼此开诚布公，坦诚切磋，完善原来的开源项目~~

总之为二个大佬点赞，一个揭开了bug,另一个及时纠正了bug~~还有安全方面的大佬，完善了平时网站运营中，对于不致命的漏洞，中肯的建议~~