已解决 举报 插件作者 米饭 插件内存在删库后门！！

[白神遥桌上の橙汁]

应该是最近加的，以PlayerWarp为例，我找来了PlayerWarp 1.5.0 (免费版) 和 1.4.0 (付费版)，1.4.0没有后门类，1.5.0有

高危操作 没有限制 没有通知 没有表面 目的不明

 

[huzpsb]

我希望补充，米饭在最新版本中补充的过滤器是无效的。仍然可以删库。
请考虑以下MySQL语句：

DELETE/**/*

好的，我补充完了。

 

[ヽ米 饭]

代码中已存在强校验, 不存在 DELETE *或者操作到其他数据库表的情况
1. 强校验禁止了DELETE * 不存在删除数据可能
2. 禁止了各种清空数据或者删除表的关键字存在
3. 禁止了操作非本插件以外表的sql (注意本验证!!!禁止了操作除本插件包含表以外的任何sql操作)
所以是不存在你换个写法 例如DELETE/**/*的情况就可以执行的情况
4. 插件有自动备份本插件数据功能,每日自动全量数据到json文件中,对数据安全性有保障,也不用担心本插件数据意外丢失

 

[白神遥桌上の橙汁]

虽然你拦截了 DELETE * 并检测了表，但是
甚至可以使用 注释 欺骗你的检测，那么我问你 你的检测真的有认真写吗，真不愿意删掉你的云端SQL嘛？为什么？为什么更新日志也没有指出？为什么没有通知用户？

 

[Avalbane_]

浏览附件95202代码中已存在强校验, 不存在 DELETE *或者操作到其他数据库表的情况
1. 强校验禁止了DELETE * 不存在删除数据可能
2. 禁止了各种清空数据或者删除表的关键字存在
3. 禁止了操作非本插件以外表的sql (注意本验证!!!禁止了操作除本插件包含表以外的任何sql操作)
所以是不存在你换个写法 例如DELETE/**/*的情况就可以执行的情况
4. 插件有自动备份本插件数据功能,每日自动全量数据到json文件中,对数据安全性有保障,也不用担心本插件数据意外丢失

你的强校验加的是不是考虑太少了,你自己看你写的if,还有为什么出事后才出来说明 你的用户都不需要有知情权吗

 

[白神遥桌上の橙汁]

漏洞利用

 

[大雪无寒]

本次事件已完成处理，参见：【处理公告】关于开发者「米饭」插件中远程下发 SQL 行为的处理决定