您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

【安全圈】有200万用户的宝塔面板安全吗?

时间:2022-12-29 12:25:30  来源:网易号  作者: 嘻呱互联

宝塔面板系统是一款非常好用的网站服务器管理控制面板,可以让大家不用记linux系统的命令,就可以轻松的管理Linux服务器,可视化界面操作,非常方便。

从官网了解到宝塔面板目前拥有200万用户,安装次数已经超过600 万次,被1000多个中大型企业及政企选择使用,堡塔已经成为服务器运维软件、搭建网站的不二之选。

成千上万的站长们把网站都架构在宝塔面板之上,如果面板出现了严重漏洞,其危害可想而知。

小编了解到在2020年的8月份,Linux面板7.4.2 版本/windows面板6.8 版本的宝塔面板被曝最新严重数据库安全漏洞。借助这个漏洞,可以直接绕过身份验证进入网站服务器的数据库,一旦被黑客盯上有可能被直接删库破坏所有数据,造成网站瘫痪。随后开发商堡塔安全也紧急发布通知短信告知,让所有用户升级到最新版本。

用过宝塔面板灯小伙伴都知道,宝塔后台是通过网页版进入并管理的,那宝塔是如何保证后台不被破解的呢?

通过测试,宝塔面板的后台链接是http协议,通过后台抓包,我们可以看到,前端在传输的过程当中,是将用户名与密码使用进行加密后才传输到后端的。

我们逐步分析一下:账号的加密方式为将输入的username(账号)进行MD5加密,之后传输给后端。

而密码的加密方式则更加复杂,首先进行MD5加密一次,加密后的字符串与“_bt.cn”进行拼接,拼接完成后再次进行MD5加密,所得数据再传输给后端

由此得出,想在前端通过抓包并穷举的方式来破解账号密码,难如登天。就算拿到了该包,里面存储的信息也是加密后的数据,没有多大用处。

前端的安全保证了,后端怎么样呢?宝塔的后台的存储也是安全的么?那么一起进入后台,找到数据库的配置文件,看一下:

我们可以看到数据库存储的密码和前端传输回来的密码不一样,并且还有一个salt值。

为什么这里会不一样呢?其实这是宝塔面板的后台在接收到前端传输回来的数据后又进行了一次加密,其加密过程为:

将接收到的数据与salt值进行拼接,得到的值再次进行MD5加密,之后再将得到的值存储进数据库

那么此时可能又会有一个问题:前后端的数据不一致,如何进行校验呢?原理也很简单:前端传回来的数据再次进行上述加密操作,如果得到的值与数据库里的相符,即校验成功(密码正确)。

后端数据库的加密存储,可以避免以下这种情况,例如有人拿到了该数据库的文件,并成功读取了该文件,此人也没有可能拿到真正的密码。

进入宝塔面板后台要经过多个关卡,以及账号数据一重加密传输,密码数据四重加密等重重难关。由此可见宝塔面板的安全性足以让大部分初级的运维人员高枕无忧了。



Tags:   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
手机qq打开设置之后,在辅助功能里面打开主页底部导航栏设置,然后关闭频道功能即可。以下为详细的操作步骤:1、手机qq点击左上角个人头像之后,点击“设置”。2、在设置中,点击“辅...【详细内容】
2022-12-30  Tags:   点击:(1)  评论:(0)  加入收藏
近日,上海一中院依法审结了一起游戏服务合同纠纷上诉案,依法适用《民法典》第497条,认定游戏公司关于“如用户连续365天未登陆游戏,公司有权删除账号”的条款无效。2020年1月小...【详细内容】
2022-12-30  Tags:   点击:(2)  评论:(0)  加入收藏
来源 | Tech星球 文 | 翟元元 Tech星球独家获悉,视频号2022年直播电商GMV在400亿-500亿之间。一位接近视频号的服务商告诉Tech星球,原腾讯高管近日透露,视频号今年直播带货GMV...【详细内容】
2022-12-30  Tags:   点击:(2)  评论:(0)  加入收藏
一、前言电池是如何工作的? 很简单,只是利用的电池内部的酸性物质与两种不同的金属之间的化学反应。其中一个金属带有更多的电子形成负极,另一个金属减少了电子形成正极。那么...【详细内容】
2022-12-30  Tags:   点击:(2)  评论:(0)  加入收藏
在今年上半年,大疆推出了DJI Mini 3 Pro无人机,将Mini系列产品更新到了第三代,不过DJI Mini 3标准版却并没有随着Pro版本一同发布,就在许多人觉得或许没有标准版Mini 3的时候,它...【详细内容】
2022-12-30  Tags:   点击:(3)  评论:(0)  加入收藏
雪雾天气驾车一些经验不足的司机很容易犯一个错误那就是从路面开到桥面上时不减速很容易导致车辆侧滑发生交通事故这些司机往往都会有个疑问明明自己在有地基的路面开得很顺...【详细内容】
2022-12-30  Tags:   点击:(3)  评论:(0)  加入收藏
在童话故事里,我们只要轻念一句“芝麻开门”,也许就能打开一个宝藏大门,而我们的现实生活中,一把汽车遥控钥匙可以轻松打开车门。但有时它也会变的不灵哦,这是为什么呢?我们一起...【详细内容】
2022-12-30  Tags:   点击:(3)  评论:(0)  加入收藏
驾驶证,对每个车主都有着至关重要的意义,无证驾驶是没有办法上路的,每个驾驶证只有12分,如果一旦出现违规驾驶的情况,这些分数也会被无情扣掉,不仅要交纳罚款,甚至可能会面临驾照被...【详细内容】
2022-12-30  Tags:   点击:(4)  评论:(0)  加入收藏
使用交通工具出行第一要素,并不是出行效率,出行的舒适性,而是出行的安全性,安全第一是得到大家公认的,而作为交通工具,无论是汽车、摩托车、电动车等等,影响安全非常重要的零部件就...【详细内容】
2022-12-30  Tags:   点击:(4)  评论:(0)  加入收藏
昨天下午,2022 年的进口网络游戏版号和12 月份国产网络游戏版号的审批信息终于公布了。相较于十一月的那份版号名单,这次的名单引起了更多的讨论。当然,大部分网友的讨论主要还...【详细内容】
2022-12-30  Tags:   点击:(4)  评论:(0)  加入收藏
▌简易百科推荐
宝塔面板系统是一款非常好用的网站服务器管理控制面板,可以让大家不用记Linux系统的命令,就可以轻松的管理Linux服务器,可视化界面操作,非常方便。从官网了解到宝塔面板目前拥有...【详细内容】
2022-12-29   嘻呱互联   网易号  Tags:   点击:(0)  评论:(0)  加入收藏
Linux Kernel 本地权限提升漏洞,Linux Kernel的io_uring 子系统中存在释放后重用漏洞,拥有低权限的本地攻击者可以利用该漏洞将权限提升到ROOT权限。处置建议 参考以下命令...【详细内容】
2022-12-21  网络安全晴雨表  今日头条  Tags:Linux Kernel   点击:(11)  评论:(0)  加入收藏
SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。具有开放 S...【详细内容】
2022-12-08  Docker中午社区  今日头条  Tags:暴力破解   点击:(25)  评论:(0)  加入收藏
编译简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件反编译就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的...【详细内容】
2022-11-20  老诚不bug  今日头条  Tags:代码混淆   点击:(38)  评论:(0)  加入收藏
引言当RedTeam拿下了一台服务器并获取到系统较高权限,但不知道服务器的凭证时,RedTeam会采用怎样的技术获取系统凭证呢?又或者,在RedTeam拿下一台服务器,为达到长久控制的目的而...【详细内容】
2022-11-09  安全狗   企鹅号  Tags:渗透   点击:(43)  评论:(0)  加入收藏
本月带给大家的是网站绕过认证漏洞。为了更好地确保业务管理系统的安全防护,基本上每一系统软件都是会存有各式各样的认证功能。普遍的几类认证功能就包含账户密码认证、验证...【详细内容】
2022-11-02  网站安全服务器安全   网易号  Tags:网站安全   点击:(24)  评论:(0)  加入收藏
在我对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网...【详细内容】
2022-10-18  网站安全服务器安全   网易号  Tags:网站漏洞   点击:(15)  评论:(0)  加入收藏
安全增强式 Linux,即SELINUX(Security-Enhanced Linux)是一个 Linux 内核的安全模块,其提供了访问控制安全策略机制,包括了强制访问控制(Mandatory Access Control,MAC)。SELinu...【详细内容】
2022-09-30  郭主任讲网络  今日头条  Tags:SELinux   点击:(66)  评论:(0)  加入收藏
网站源码被篡改,攻击者一定获取到了权限,那么接下来的思路就是推测攻击者入侵手段,找到业务脆弱点,对服务器进行全方位排查,找到攻击者留下来的痕迹并进行分析处理。0x01 事件背...【详细内容】
2022-09-16  银弹实验室  51CTO  Tags:服务器入侵   点击:(88)  评论:(0)  加入收藏
相信有很多站长以及运营网站或APP的技术人员都有一些安全上的困扰,尤其是对网站代码里存在后门文件,以及服务器被植入木马病毒的安全问题很闹心,前段时间我们SINE安全接到客户...【详细内容】
2022-09-01   网站安全服务器安全     Tags:webshell后门   点击:(15)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条