终端鉴权优化 #394

Naochen2799 · 2024-05-15T15:31:58Z

https://yourdomain.com/#/terminal
没有终端相关的鉴权，存在被滥用的风险。
注：包括demo站点！

0xJacky · 2024-05-15T15:39:25Z

我不清楚您是如何认为我们没有做终端鉴权的

Lines 66 to 70 in 189f623

    
           w := root.Group("/", authRequired(), proxyWs()) 
        
           { 
        
           	analytic.InitWebSocketRouter(w) 
        
           	certificate.InitCertificateWebSocketRouter(w) 
        
           	terminal.InitRouter(w)

后端需要通过 token 验证才可以进入 web 终端，其次，我在文档中有注明使用 login 作为启动命令，这样相当于可以多套一层 linux 的用户认证
https://nginxui.com/zh_CN/guide/config-server.html#startcmd

在未登录的情况下，访问 yourdomain.com/#/termainal 也有前端的路由守卫，跳转至 #/login

nginx-ui/app/src/routes/index.ts

Line 307 in 189f623

next({ path: '/login', query: { next: to.fullPath } })

Naochen2799 · 2024-05-15T15:42:59Z

我没有完整的阅读文档，忽略了Linux默认的用户名和密码进行验证。
但是目前的demo网站似乎也没有添加额外的授权，可能存在风险

0xJacky · 2024-05-15T15:44:02Z

因为 demo 为了展示，所以直接用的 bash 作为启动命令

0xJacky · 2024-05-15T15:45:33Z

后续会增加设置，禁用 WebTerminal，以及二步验证等

Naochen2799 added the bug Something isn't working label May 15, 2024

0xJacky added the question Further information is requested label May 15, 2024

0xJacky added enhancement New feature or request and removed bug Something isn't working labels May 15, 2024

0xJacky changed the title ~~终端没有鉴权，存在入侵风险~~ 终端鉴权优化 May 16, 2024

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

终端鉴权优化 #394

终端鉴权优化 #394

Naochen2799 commented May 15, 2024

0xJacky commented May 15, 2024 •

edited

Naochen2799 commented May 15, 2024

0xJacky commented May 15, 2024

0xJacky commented May 15, 2024

终端鉴权优化 #394

终端鉴权优化 #394

Comments

Naochen2799 commented May 15, 2024

0xJacky commented May 15, 2024 • edited

Naochen2799 commented May 15, 2024

0xJacky commented May 15, 2024

0xJacky commented May 15, 2024

0xJacky commented May 15, 2024 •

edited