人民日报开放 telegram 频道
========
现在立即订阅,成为前1000名订阅者就送 !
https://fxtwitter.com/PDChina/status/1597245177848119297
以下是频道链接
http://t.me/PDChinaNews
=======
喜欢键政的朋友建议去那边指点江山
消息来源: https://t.me/CE_Observe/24794
========
现在立即订阅,成为前1000名订阅者就送 !
https://fxtwitter.com/PDChina/status/1597245177848119297
以下是频道链接
http://t.me/PDChinaNews
=======
喜欢键政的朋友建议去那边指点江山
消息来源: https://t.me/CE_Observe/24794
FxTwitter / FixupX
People's Daily, China (@PDChina)
People's Daily, the largest newspaper in China, is now available on messaging platform Telegram. Join us here: http://t.me/PDChinaNews
喜讯
网易我的世界告赢迷你世界
迷你世界向网易赔偿5000万人民币
并且删除267个侵权元素:
1. 151个合成元素(合成表
2. 70个基础元素
3. 9个生物元素(5个动物4个异造生物
4. 37个游戏数值(饥饿度,烧制,红石
消息来源: https://t.me/airproxies/2520
网易我的世界告赢迷你世界
迷你世界向网易赔偿5000万人民币
并且删除267个侵权元素:
1. 151个合成元素(合成表
2. 70个基础元素
3. 9个生物元素(5个动物4个异造生物
4. 37个游戏数值(饥饿度,烧制,红石
消息来源: https://t.me/airproxies/2520
“通信行程卡”12月13日起停止服务。公告说:根据国务院联防联控机制综合组有关要求,12月13日0时起,正式下线“通信行程卡”服务,短信、网页、微信小程序、支付宝小程序、 APP等查询渠道将同步下线。
(通信行程卡微信公众号)
消息来源: https://t.me/tnews365/25383
(通信行程卡微信公众号)
消息来源: https://t.me/tnews365/25383
Telegram
竹新社
联防联控机制12月7日印发《关于进一步优化落实新冠肺炎疫情防控措施的通知》宣布不再对跨地区流动人员查核酸、健康码、行程码、做落地检。
除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所外,其他场所不查验健康码、不要求提供核酸证明。
不再开展区域全员核酸检测(原第九版及“二十条”曾授权在传播链不清、风险点位多有扩散风险时实施大筛)。除风险岗位从业人员和高风险区外,其他人员再无强制核酸要求。
无症状感染者、轻型病例如具备条件则采取居家隔离,也可自愿选择集中隔离收治。密接由“5+3”改为5天居家隔离,也可自愿选择集中隔离。…
除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所外,其他场所不查验健康码、不要求提供核酸证明。
不再开展区域全员核酸检测(原第九版及“二十条”曾授权在传播链不清、风险点位多有扩散风险时实施大筛)。除风险岗位从业人员和高风险区外,其他人员再无强制核酸要求。
无症状感染者、轻型病例如具备条件则采取居家隔离,也可自愿选择集中隔离收治。密接由“5+3”改为5天居家隔离,也可自愿选择集中隔离。…
菲律宾SIM卡实名制本月底正式上线。
估计菲区Spotify🎧
还能最多再用6个月吧差不多
估计菲区Spotify
还能最多再用6个月吧差不多
Please open Telegram to view this post
VIEW IN TELEGRAM
国家卫健委:当前,新冠肺炎核酸检测实行愿检尽检的策略,许多无症状感染者不再参加核酸检测,无法准确掌握无症状感染者的实际数量,从今天(2022年12月14日)起不再公布无症状感染者数据。
http://www.nhc.gov.cn/xcs/yqtb/202212/b116e06cd2e847baadf630bc9d9ad2a5.shtml
消息来源: https://t.me/abcthoughts/4642
http://www.nhc.gov.cn/xcs/yqtb/202212/b116e06cd2e847baadf630bc9d9ad2a5.shtml
消息来源: https://t.me/abcthoughts/4642
Forwarded from 凛の碎碎念
v2board数据泄露漏洞复盘:
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288