宝塔国内版已知收集的隐私信息

网络资源 admin 来源:原文链接 7天前 142次浏览 0个评论

怎么传的越来越邪乎了.
acme_v2.py 只有执行签发 SSL 证书的时候才会访问宝塔的域名.不会主动访问.
site_task.py 传的是部分服务器信息(客户端,面板访问路径.).不会传用户 IP.

对于 PY 并不是特别了解.所以可能有疏漏.但是现有这些应该是有的.
根据 GitHub 上开源的代码分析:mrgreen:

 

1.搜集服务器上面的域名.
/class/public.py

此处检测域名是否可用,由/class/acme_v2.py(签发 SSL 证书脚本)调用.

由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集(可能)域名与 IP 的对应信息

 

2.收集面板操作日志的部分信息.
/class/public.py搜集,保存到:/www/server/panel/logs/request/

保存格式为:

  1. [“2022-05-06 01:58:10”, “你的 IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]

/script/site_task.py发送到宝塔服务器部分信息



/task/bt-task.c定时执行.每一小时执行一次.

暂时已知的就是这些.
还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了.

检查域名和收集操作信息属实没必要.不知道是什么意思. :x

还有哪些欢迎评论.就是这样喵~

注:本文章仅为记录.可能有错误的分析.请勿以讹传讹.

KIENG.CN , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明出处:宝塔国内版已知收集的隐私信息
本文章链接:https://blog.kieng.cn/2950.html

VPS小白 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址