/supershell/log/xxxx.js 可以泄露用户名信息

Question

/supershell/log/xxxx.js 可以泄露用户名信息

Opened this issue a year ago · 4 comments

`white_list = ['js', 'css', 'png', 'svg', 'jpg', 'jpeg']

@log_view.route('/supershell/log/path:name', methods=['GET'])
def log(name):
'''
访问日志
'''
return render_template('log.html',
supershell_version=supershell_version_dict['version'],
year=supershell_version_dict['info'][supershell_version_dict['version']]['mtime'].split('-')[0],
username=user,
name=name)`
此处可未授权访问导致用户名泄露导致溯源和爆破难度减小

Answer 1 · 2023-09-30T07:14:36.000Z

另外希望大佬研究下自动生成随机用户名和随机密码和jwt 类似于宝塔面板用户名那种

Answer 2 · 2023-09-30T15:11:30.000Z

漏洞和建议反馈已收到，此漏洞之前也被@zjx师傅反馈过，后续会修复

Answer 3 · 2023-10-24T08:33:34.000Z

另外希望大佬研究下自动生成随机用户名和随机密码和jwt 类似于宝塔面板用户名那种

location ~* ^/supershell/log/.*.js$ {
deny all;
return 403;
}
直接nginx增加配置屏蔽即可

Answer 4 · 2023-11-06T12:54:20.000Z

另外希望大佬研究下自动生成随机用户名和随机密码和jwt 类似于宝塔面板用户名那种

那个太简单了，自己折腾折腾一下吧！没难度