全球主机交流论坛

标题: 使用第三方CFP的安全问题,给正在白女票CF pro的提个醒 [打印本页]
作者: Nvmz    时间: 2020-8-13 19:07
标题: 使用第三方CFP的安全问题,给正在白女票CF pro的提个醒
本帖最后由 Nvmz 于 2020-8-13 19:11 编辑

这两天收了个Cloudflare Partners 闲的没事儿准备重写个面板自用

研究了下API,发现只要你授权过CFP,第三方CFP就能拿到你的user_api_key

这个的重要性不必多说了吧。。

https://api.cloudflare.com/#dns-records-for-a-zone-update-dns-record 这里面的全部可以访问

包括修改dns、删除域等等

一开始只是担心授权时账户密码会被泄漏,无非改个密码就完事儿了,但现在key能被直接获取。。即使你改了 我也能拿到最新的

暂时没找到取消授权的方法,有知道的大佬可以分享下。

目前是即使删除域,CFP记录列表中依然可以查询到相关信息

大家以后授权可小心点咯

补个图
作者: Lemon0    时间: 2020-8-13 19:09
那怎么哪到用户的key(#/。\#)
作者: suantong    时间: 2020-8-13 19:12
权限很大,一般都是单独cf和专门的域名弄
作者: Nvmz    时间: 2020-8-13 19:13
Lemon0 发表于 2020-8-13 19:09
那怎么哪到用户的key(#/。\#)

看我图片里的接口。。只要你在第三方授权过 对方就能拿到 我目前是收来的CFP能拿到之前所有用户的key 看到他们的所有信息
作者: 秋上书    时间: 2020-8-13 19:14
就那么回事儿吧
作者: Nvmz    时间: 2020-8-13 19:15
suantong 发表于 2020-8-13 19:12
权限很大,一般都是单独cf和专门的域名弄

关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去搞客户 毕竟是收费服务
作者: laogui    时间: 2020-8-13 19:26
Nvmz 发表于 2020-8-13 19:15
关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去 ...

跟楼主一样,不小心点了下
作者: wkz    时间: 2020-8-13 19:28
反正自己有CFP一点不慌
作者: vultrlinode    时间: 2020-8-13 19:41
Nvmz 发表于 2020-8-13 19:15
关键最骚的是没有取消授权的方法 正才是最坑的。。 我之前不小心点过云筏家的cf授权 不过他们应该不会去 ...

这么严重呢
不是怕云筏搞客户,而是怕有关部门搞云筏.
作者: fule    时间: 2020-8-13 19:52
哦豁?还有这种事?
作者: citywar    时间: 2020-8-13 20:02
担心就自己建一个
作者: wkz    时间: 2020-8-13 20:05
貌似真的可以只要知道你的登陆邮箱就可以查到

  2. 3.2.4 - "user_lookup" - Lookup a user's Cloudflare account information (optional)
  3. This act parameter is used to lookup information about a User's existing Cloudflare account. This action is typically used to check if the account exists or to retrieve a user_key. You do not need to support this function if you plan to store the user_key on your system.

  5. Input:       
  6. Requires the basic parameters described in Section 3.1 of this document. In addition, you must pass the following parameters via the POST request.

  8. "cloudflare_email" or "unique_id"
  9. Lookup a user's account information or status by either cloudflare_email or unique_id.

  11. Here is an example POST to the user_lookup action:


复制代码

  1. curl https://api.cloudflare.com/host-gw.html \
  2.   -d 'act=user_lookup' \
  3.   -d 'host_key=8afbe6dea02407989af4dd4c97bb6e25' \
  4.   -d 'unique_id=someuniqueid'
复制代码
作者: nako    时间: 2020-8-13 20:07
我有点方
作者: CloudRaft    时间: 2020-8-13 20:17
本帖最后由 CloudRaft 于 2020-8-13 20:18 编辑

取消授权的方法就是接入一家自己信任的CFP,比如接入Plesk之类的大厂的话相对就比较安全了(常说的Plesk CF Pro)
作者: 251768938    时间: 2020-8-13 20:35
cdn.vrt.app来吧,我信得过
作者: 2019年    时间: 2020-8-13 20:36
在CF后台重新生成 一下新的API KEY就可以了吧
作者: Nvmz    时间: 2020-8-13 20:56
2019年 发表于 2020-8-13 20:36
在CF后台重新生成 一下新的API KEY就可以了吧

并不行 换了也能拿到最新的
作者: chxin    时间: 2020-8-13 21:06
Nvmz 发表于 2020-8-13 20:56
并不行 换了也能拿到最新的

最简单的,重新注册一个就完事了
作者: liugogal    时间: 2020-8-13 21:11
这种要是被滥用了是否可以直接向CF官方举报
作者: 小穴儿    时间: 2020-8-13 21:20
幸好就自用。。。
作者: 2019年    时间: 2020-8-13 21:21
Nvmz 发表于 2020-8-13 20:56
并不行 换了也能拿到最新的

CF这个设置逻辑有点太不合理了吧,这么重要的权限控制在别人手上。。。
作者: Nvmz    时间: 2020-8-13 21:23
liugogal 发表于 2020-8-13 21:11
这种要是被滥用了是否可以直接向CF官方举报

这是把双刃剑吧 没了CFP那以后免费的CF pro估计就成历史了 所以发出来提醒下大家 找个靠谱的授权 不要到处乱授权就好了
作者: 2019年    时间: 2020-8-13 21:25
chxin 发表于 2020-8-13 21:06
最简单的,重新注册一个就完事了

之前测试,换了API KEY,CFP就不能控制了。不然改密码也能控制。
但一直不知道他还可以得到最新的API KEY
作者: lijihede    时间: 2020-8-13 21:29
吓得我赶紧注册一个新的CF,把域名全转移到新的账号了。
作者: Nvmz    时间: 2020-8-13 21:35
2019年 发表于 2020-8-13 21:25
之前测试,换了API KEY,CFP就不能控制了。不然改密码也能控制。
但一直不知道他还可以得到最新的API KEY ...

实测 我更新多次API KEY 用 user_lookup 方法依然拿到的是最新的
作者: qmsht    时间: 2020-8-13 21:37
本来就不用密码,看看acme.sh里面CF两种方式操作验证域名
作者: 十里山路不换    时间: 2020-8-13 21:39
这种情况只能去官方论坛反馈
作者: Nvmz    时间: 2020-8-13 21:46
qmsht 发表于 2020-8-13 21:37
本来就不用密码,看看acme.sh里面CF两种方式操作验证域名

密码倒无所谓 key能拿到也无所谓 坑的是无法取消授权 后续能一直拿key
作者: hjz    时间: 2020-8-13 21:49
CloudRaft 发表于 2020-8-13 20:17
取消授权的方法就是接入一家自己信任的CFP,比如接入Plesk之类的大厂的话相对就比较安全了(常说的Plesk CF ...

云筏大厂值得信赖,不过https://cf.cloudraft.cn/似乎在国内打不开,希望大佬看看。
作者: hjh142857    时间: 2020-8-13 22:22
确实有点坑啊。。我之前用大号给小号开管理员授权,然后cfp登陆小号来管理的,配置完就取消授权。。。关键是我记不清大号有木有在哪家cfp登陆过了
作者: 伊斯蓝    时间: 2020-8-13 22:50
无所谓
自己有cfp
感觉没啥用放着吃灰
作者: limitless    时间: 2020-8-13 23:47
提示: 作者被禁止或删除 内容自动屏蔽
作者: loogoo    时间: 2020-8-14 00:36
只能弄俩账号了,给弄cfp的单独弄个账号
作者: 额头有王的喵    时间: 2020-8-14 02:01
找个假的用
作者: Nvmz    时间: 2020-8-14 09:35
limitless 发表于 2020-8-13 23:47
好像使用两步验证的话是不是就获取不到了吧?之前我用别人的cfp,我开了两步认证之后,就无法在cfp平台登录 ...

这个我今天试下 有可能是能阻止获取的 昨天晚上我在官方社区里也看人提到两步验证之后CFP无法使用的问题



欢迎光临 全球主机交流论坛 (https://hostloc-workers.ikyomon.com/) Powered by Discuz! X3.4