【澄清】关于云尚发卡，我是作者！

codeas

本帖最后由 codeas 于 2018-6-5 23:53 编辑

今天陆续收到交流群里朋友发我的坛子链接，说我程序出事了。

原文章：https://www.hs2v.com/thread-454219-1-1.html

我想说明几点：

1.我的源码全部放在github上面，有没有后门我相信大家心里清楚。

2.这位朋友卡密损失第一时间就给我扣上了帽子，你怎么确定是程序有问题导致而不是服务器的安全？
万事不要下定论太早

3.用云尚发卡的都知道，我一不收你们钱，二没有加密代码，请注意！没有加密任何代码！！
有没有后门明眼人自己能看出来！

4.至于到底是不是云尚发卡的问题这个还需要分析这位朋友的网站日志，朋友们可以选择不用，但是请事情没弄清楚之前不要乱扣帽子

5.我做这个东西完全是为了情怀，无论是功能还是更新速度上可以说是没有任何一家收授权的能比上。

话我先说到这，仁者见仁智者见智！

10:24分更新：
已经帮这位朋友简要分析了一遍网站日志，属于云尚发卡的网站日志没有出现注入，xss,上传木马的情况。

你们可以说也许是我能力不足，或者有其他大能来分析？

这件事情我会持续关注，如果还有朋友出现此类问题，云尚发卡就下架并停止开源，以防更多人朋友遭受损失。

源码在github，欢迎大牛分析后门！http://github.com/assimon/ysfaka

另外，我建议朋友们一次上库存不用上太多，这个世界上没有绝对安全的系统！

一次上架10-20张即可，云尚发卡有自动库存告警机制，库存不足再去加就行！

求求朋友们出行问题先自己查查看，有没有服务器漏洞，弱密码，或者是业务问题？



我看到有朋友说我官网无法打开，我跑路了？

在我群里的朋友都知道，我从上周起官网就一直属于北岸关站状态，而且github上面也有公告，
麻烦朋友们看看github行吗？

风铃

本帖最后由 风铃 于 2018-6-5 22:56 编辑

其他的先不说  光你里面用着 5.2.14 的 phpmailer, 就够人家日进去无数次了


-------------

安全开发确实需要关注的比较多, 楼主既然都用composer了 这些开源组件可以用composer来管理, 就不要复制人家代码出来扔在自己的lib里面
vendor的体积大就大呗

dream7758521

不要在意别人的看法

lwsg1987

先顶作者一波，无论如何，对使用者来说，免费软件意味着风险自担，毕竟作者是无偿提供给你的，你可以选择不用。商业软件你可以黑一波，免费代码这个真没得黑。

风铃

codeas 发表于 2018-6-5 23:00

python看不明白。
我的意思是怎么利用这个漏洞？外部注入？我的email发送全部是在内部实现。邮件输入点做 ...
这个漏洞的利用方式是shell脚本执行, 通过构造畸形收货邮箱实现服务器任意命令执行

我没有具体看, 当然有可能不是这个的原因,
但这个确实是一个漏洞

风铃

codeas 发表于 2018-6-5 22:55

怎么个日法，大佬我想听听你的意见，我好改？
https://www.exploit-db.com/exploits/40969/

thymol

支持作者。今天看到有大佬说logo上传php大码，当时说的也是发卡平台。不知道程序是不是被黑了

南思

是不是软件有洞被大佬黑了？

救世主

先占个楼再继续看戏~

hosty

顶无偿开源社区精神！