Xboard面板漏洞,可导致所有用户uuid泄漏,目前已有多家机场被大规模扫描。起因是Xboard开发者只核验了提交的token是否正确,却没判断是否为空,导致没token的时候反而绕过了校验导致订阅可被未授权遍历。此漏洞可导致用户订阅信息泄漏,预计泄漏后将导致市面出现大批免费节点。另外据传Xboard还存在SQL注入漏洞。修復方法:文件位置:/app/Http/Middleware/Server.php方法1(推荐更优雅):见图红色部分,添加图片红色部分到代码中。方法2(不推荐不优雅):加到中间件内:加到$request->validate(前)$token = $request->input('token'); if (empty($token)) { throw new ApiException('token is null',403); }參考地址aapanel + docker compose| 1panel | docker compose 更新命令docker compose pull docker compose run -it --rm xboar
假設你有VPS1為韓國VPS,VPS2為美國VPS,儅用戶直接連接VPS2節點會比較慢、丟包,而VPS1連接VPS2的速度優質,那麽就可以通過VPS1部署中轉服務,來實現:用戶 >> VPS1 >> VPS2,這樣可以加速上網體驗。當前節點配置為vmess+ws,你可以選擇不同的協議嘗試。1.隨便在一臺VPS安裝極光面板wget -O Tool https://blog.xueli.lol/Script/Tool.sh; mv Tool /usr/local/bin/; cd /usr/local/bin/ && chmod +x Tool && bash Tool2.添加VPS1的配置信息設置中轉端口為3000-3010添加入口端口為3000,轉發到3001,再有3001轉發到最終的VPS2的端口。3.機場填寫的父節點為VPS2,子節點為VPS1的IP和端口3000即可。(這只是舉例。)
原理:在安裝XrayR的VPS上通過脚本添加配置文件,只需要一行命令,會節省一些修改時間。通過脚本命令快速添加節點。將其保存為 add_node.sh 文件,執行以下命令(前面四個參數必填,後面可選。):./add_node.sh 機場網址 節點key 節點id 節點類型 域名配置 Cloudflare郵箱 CloudflareKey#!/bin/bash # Check if all required arguments are provided if [ "$#" -lt 4 ]; then echo "Usage: $0 ApiHost ApiKey NodeID NodeType [CertDomain] [CLOUDFLARE_EMAIL] [CLOUDFLARE_API_KEY]" exit 1 fi # Assign input arguments to variables ApiHost="$1" ApiKey="$2" NodeID="$3" Nod
我發現今天有人一直在獲取驗證碼,郵箱卻是隨機生成的,我決定部署Cloudflare的WAF防火墻來進行解決這一問題。因爲V2board/Xboard的請求驗證url是 /api/v1/passport/comm/sendEmailVerify 所以填入。我也不是很清楚有沒有效果,但思路應該沒問題。有更好的建議可以下面留言。最新通知:該方式有些問題,支付成功后面板依舊提示未支付。所以該方案還是放棄。
让我举一个例子来说明listen IP和send IP的应用。假设你有一台拥有两个网络接口的服务器,每个接口都分配了一个IP地址:网络接口eth0:192.168.1.100网络接口eth1:10.0.0.100现在,你想要实现以下配置:当来自内部网络(10.0.0.0/24)的用户访问你的网站时,他们应该使用eth1接口上的IP地址(10.0.0.100)进行连接,这样他们就可以访问到网站。当网站向外部网络发送请求时,应该使用eth0接口上的IP地址(192.168.1.100)作为出口IP地址。在这种情况下,你可以进行如下配置:Listen IP:10.0.0.100Send IP:192.168.1.100这样配置的结果是:当内部网络的用户访问网站时,他们连接到10.0.0.100这个IP地址,这个IP地址被指定为监听IP,所以网站会在eth1接口上监听连接。当网站向外部网络发送请求时,它们会使用192.168.1.100这个IP地址,这个IP地址被指定为发送IP,所以网站会从eth0接口发送请求,以确保出口IP地址为192.168.1.100。这样,通过设置不同的listen
