【已解答】宝塔面板跨站问题和小建议

无论任何版本的宝塔，或者是企业版防火墙，默认均无法拦截。
普通用户（不花钱买各种安全防护插件）可通过安装PHP扩展bt_safe解决


跨站方法：用蚁剑直接连就行，如果防火墙拦截，编码数据即可


场景：某宝塔虚拟主机
过程：购买个产品之后进入虚拟主机管理面板，上传一句话，直接连接，如果不行的话可以关闭自带防火墙。




已测试网站：昔年host 阿乐云 果果互联 宝塔互联 小鹿云计算 a152
已造成严重后果的：a152，我一个朋友的，直接让我拿到宝塔api密匙，删库跑路


或者通过非法手段拿到网站SHELL也可以跨站




另外
宝塔后台主页的页脚里CSS的position属性的值应该是fixed，不然窄屏不适应

补充，还有萧然云互联也让我删库跑路了

已经给出了php 的安全扩展插件。就没啥必要纠结了吧。
还有Linux 的不存在能跨站获取到API秘钥的。
至于你想吹嘘自己删库跑路。得付的起法律责任。

对于防跨站的问题。
公众号已经给出答复。也给出了解决方案。

公众号链接

https://mp.weixin.qq.com/s/UPVSSMzA8-D2fyFo4OWeJQ

哦，我出来说这个漏洞还说我吹，一般用户都没有安装这个扩展，也没有什么提示，你们就这么不负责任么

我们不能保准所有人知道这个扩展，但是我能保准每个看过我们的文章的人，知道这个扩展，

PHP 防跨站的问题。本身就是一个需要权限才能利用的东西。
默认是给了一个PHP官方的解决方案。很负责任的跟你说。那个方案就能解决大部分人的需求。
至于绕过的解决方案，我们也提供了php 插件 bt_safe 为了解决那些被绕过的人的需求。

为什么不默认安装。因为性能。不能在用户不知道的情况下就去安装这样一个扩展。

防跨站绕过是一个问题。但是没有想象中那么大。我们团队也在全力去从各个方面安全化。

至于你说出这个问题。我们是没啥反对意见的。我们也在努力朝着好的方向发展。

但是你说利用这种去删库。或者API 之类的。误导其他人。觉得这种很好利用一样

后续也会在 面板首页-->安全检测-->添加PHP 安全扩展的提示。

如果还有其他问题。请联系QQ 即可。