『瀚思彼岸』» 智能家居技术论坛

 找回密码
 立即注册
12
返回列表 发新帖
楼主: plutosherry

[求助] 关于www文件夹的安全问题

[复制链接]

65

主题

853

帖子

3038

积分

论坛元老

Rank: 8Rank: 8

积分
3038
金钱
2180
HASS币
40
 楼主| 发表于 2018-6-19 14:46:00 | 显示全部楼层
killadm 发表于 2018-6-19 14:29
是插件的问题,敏感信息不应该写在前端

是的,毕竟是开源插件也不能要求这么高咯。如果要用在外网只能自己改咯
回复

使用道具 举报

40

主题

3057

帖子

1万

积分

超级版主

Nero

Rank: 8Rank: 8

积分
11135
金钱
8028
HASS币
182
发表于 2018-6-19 15:16:08 | 显示全部楼层
想问下楼主,墨澜的地图在没登录的情况下,怎么能读到 config,js里面的HomeAssistantWebAPIPassword内容。

我用隐身模式测试了下,全部访问均要求输入api密码才能得到访问啊?
Nero
回复

使用道具 举报

26

主题

1210

帖子

5495

积分

元老级技术达人

积分
5495
金钱
4260
HASS币
100
发表于 2018-6-19 16:05:45 | 显示全部楼层
www目录就是设计给共享文件用的,你把配置文件写到这里属于使用不规范,我不认为这算漏洞。
http://ip:port/local/../../configuration.yaml  能访问到才叫漏洞
回复

使用道具 举报

65

主题

853

帖子

3038

积分

论坛元老

Rank: 8Rank: 8

积分
3038
金钱
2180
HASS币
40
 楼主| 发表于 2018-6-20 12:52:57 | 显示全部楼层
本帖最后由 plutosherry 于 2018-6-20 12:54 编辑
25989406 发表于 2018-6-19 16:05
www目录就是设计给共享文件用的,你把配置文件写到这里属于使用不规范,我不认为这算漏洞。
http://ip:port ...

configuration.yaml 不再www下自然无法访问到咯也是给大家提个醒,涉密的东西就不要放到www下,不然一旦吧hass公布到公网上就等于把www下的东西也直接给公布了哈
回复

使用道具 举报

65

主题

853

帖子

3038

积分

论坛元老

Rank: 8Rank: 8

积分
3038
金钱
2180
HASS币
40
 楼主| 发表于 2018-6-20 12:55:52 | 显示全部楼层
neroxps 发表于 2018-6-19 15:16
想问下楼主,墨澜的地图在没登录的情况下,怎么能读到 config,js里面的HomeAssistantWebAPIPassword内容。
...

http://ip:port/local/custom_ui/inkwavemap/config.js

这个地址就可以的哦
回复

使用道具 举报

40

主题

3057

帖子

1万

积分

超级版主

Nero

Rank: 8Rank: 8

积分
11135
金钱
8028
HASS币
182
发表于 2018-6-20 13:45:19 | 显示全部楼层
本帖最后由 neroxps 于 2018-6-20 13:46 编辑
plutosherry 发表于 2018-6-20 12:55
http://ip:port/local/custom_ui/inkwavemap/config.js

这个地址就可以的哦

要加local??我加了会找不到文件。不加就跳转到密码输入页。
哦 可以了 可以看到。
Nero
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Hassbian

GMT+8, 2024-6-16 11:43 , Processed in 1.419847 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表