|
我发现飞牛应用中心的浏览器chromium,在安装以后,可以在不登录飞牛web的情况下,直接在浏览器中输入https://fnos.我的域名.top:443/chromium 后就可以无需登录认证,
直接http访问内网中的应用,或者进入命行进行操作(非root权限),我换了多个浏览器,且都没有选择记住密码,结果测试的结果都是一样。
我觉得这应该是一个未授权访问漏洞,同样的飞牛相册、飞牛影视在访问时,都有登录认证,都不存在这个问题。
如果没有公网IP这个因素,可能风险比较小,但在有公网IP的情况下,一旦访问了这个URL,就可以进一步访问内网应用,安全风险就比较高了,建议尽快修复。
我部署环境是:申请了公网IP,购买了域名、SSL证书,通过DDNS,远程访问FNOS的web页面,路由器上开了端口映射,将SSL端口请求转发给后面的nginx ,nginx上做了应用代理,将访问(fnos.xxxxxx.com:端口号)的请求转发给飞牛的SSL端口。
飞牛系统版本0.8.19 浏览器版本:chromium 1.2.3
我现在已经临时停用了 chromium
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|