使用第三方CFP的安全问题，给正在白女票CF pro的提个醒

这两天收了个CloudflarePartners闲的没事儿准备重写个面板自用

研究了下API，发现只要你授权过CFP，第三方CFP就能拿到你的user_api_key

这个的重要性不必多说了吧。。

https://api.cloudflare.com/#dns-records-for-a-zone-update-dns-record这里面的全部可以访问

包括修改dns、删除域等等

一开始只是担心授权时账户密码会被泄漏，无非改个密码就完事儿了，但现在key能被直接获取。。即使你改了我也能拿到最新的

暂时没找到取消授权的方法，有知道的大佬可以分享下。

目前是即使删除域，CFP记录列表中依然可以查询到相关信息

大家以后授权可小心点咯

补个图

取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的PleskCFPro）

网友回复:

引用:Lemon0发表于2020-8-1319:09

那怎么哪到用户的key(#／。＼#)


网友回复:

引用:suantong发表于2020-8-1319:12

权限很大，一般都是单独cf和专门的域名弄


网友回复:

引用:Nvmz发表于2020-8-1319:15

关键最骚的是没有取消授权的方法正才是最坑的。。我之前不小心点过云筏家的cf授权不过他们应该不会去...


网友回复:

引用:Nvmz发表于2020-8-1319:15

关键最骚的是没有取消授权的方法正才是最坑的。。我之前不小心点过云筏家的cf授权不过他们应该不会去...


网友回复:

貌似真的可以只要知道你的登陆邮箱就可以查到

3.2.4-"user_lookup"-LookupausersCloudflareaccountinformation(optional)
ThisactparameterisusedtolookupinformationaboutaUsersexistingCloudflareaccount.Thisactionistypicallyusedtocheckiftheaccountexistsortoretrieveauser_key.Youdonotneedtosupportthisfunctionifyouplantostoretheuser_keyonyoursystem.

Input:
RequiresthebasicparametersdescribedinSection3.1ofthisdocument.Inaddition,youmustpassthefollowingparametersviathePOSTrequest.

"cloudflare_email"or"unique_id"
Lookupausersaccountinformationorstatusbyeithercloudflare_emailorunique_id.

HereisanexamplePOSTtotheuser_lookupaction:

网友回复:

取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的PleskCFPro）

网友回复:

在CF后台重新生成一下新的APIKEY就可以了吧


网友回复:

引用:2019年发表于2020-8-1320:36

在CF后台重新生成一下新的APIKEY就可以了吧


网友回复:

引用:Nvmz发表于2020-8-1320:56

并不行换了也能拿到最新的


网友回复:

引用:Nvmz发表于2020-8-1320:56

并不行换了也能拿到最新的


网友回复:

引用:liugogal发表于2020-8-1321:11

这种要是被滥用了是否可以直接向CF官方举报


网友回复:

引用:chxin发表于2020-8-1321:06

最简单的，重新注册一个就完事了


网友回复:

吓得我赶紧注册一个新的CF,把域名全转移到新的账号了。


网友回复:

引用:2019年发表于2020-8-1321:25

之前测试，换了APIKEY，CFP就不能控制了。不然改密码也能控制。

但一直不知道他还可以得到最新的APIKEY...


网友回复:

本来就不用密码，看看acme.sh里面CF两种方式操作验证域名


网友回复:

引用:qmsht发表于2020-8-1321:37

本来就不用密码，看看acme.sh里面CF两种方式操作验证域名


网友回复:

引用:CloudRaft发表于2020-8-1320:17

取消授权的方法就是接入一家自己信任的CFP，比如接入Plesk之类的大厂的话相对就比较安全了（常说的PleskCF...


网友回复:

确实有点坑啊。。我之前用大号给小号开管理员授权，然后cfp登陆小号来管理的，配置完就取消授权。。。关键是我记不清大号有木有在哪家cfp登陆过了


网友回复:

无所谓

自己有cfp

感觉没啥用放着吃灰


网友回复:

好像使用两步验证的话是不是就获取不到了吧?之前我用别人的cfp，我开了两步认证之后，就无法在cfp平台登录了，也不知道是不是因为开了两步认证导致的。


网友回复:

引用:limitless发表于2020-8-1323:47

好像使用两步验证的话是不是就获取不到了吧?之前我用别人的cfp，我开了两步认证之后，就无法在cfp平台登录...