最近啊,不少伙伴呢,对这个项目的关注特别高,在这里呢,有几点话我需要详细的和大家讲一讲,这个项目到底是什么状况呢?另外还有几个问题,要请问刘总,希望您能正面的给出一些回应,而不是呢掐头去尾的截图,然后逮着一点小小的东西无限放大,这显得特别闪电五连鞭。
首先,第一点,您一再强调由于您的项目比较敏感,希望进行线下测试,证明如下:
那么问题来了,为什么在测试人员到现场之后,给了测试人员一个公网的IP地址(http://118.190.*.*:8082/powerCode/static/visitor/register.jsp#,为避免敏感,隐去部分ip地址),我来解释一下什么是公网IP地址:公网IP意味着世界上所有的互联网用户都可以通过该IP地址访问到对应的资源,这也就意味着世界上很多黑客编写的爬虫,都有机会看到您的系统,甚至有机会下载系统的源代码,请问您如何解释该问题,您口中的:合作单位及知识产权限制了您的系统的什么部分,什么单位,什么产权造成了这个限制?即使是今日,仍然可以访问相关公网ip,只不过刘总似乎把系统下线啦?
公网ip仍对外开放特定服务的佐证,如下图所示,奥对了7.0.88版本的tomcat也有漏洞哦:
见到刘总,我还挺高兴的,刘总非常儒雅,言谈举止什么的都特别的有文化,特别值得我学习,刘总说呢,让我们悠着点,我很理解,毕竟自己的系统,谁愿意让别人乱动呢,另外的感觉刘总和技术之间的交流不太多,但是很奇怪,这个系统当我都不用登陆他测试账号的时候我就发现一个问题,大家知道是什么问题么?
样例目录泄露漏洞:在特定情况下能通过session能够获得系统权限
Tomcat样例目录泄露,有兴趣的朋友可以去如下链接看一看到底是怎么肥四:(https://blog.csdn.net/alex_bean/article/details/87854752)
这个系统在现场进行测试的时候,竟然发现还有这种漏洞,这种漏洞,用我的话来说,就是我认为这个系统的出发点似乎仅仅是为了完成,另外就是其开发人员的网络安全意识是不强的,既然区块链和网络安全关联那么大,为啥会有这种问题呢,那个样例目录泄露大家看起来问题不大,但是有机会拿系统管理权限的。本着确保系统安全的原则,测试伙伴们也及时做了通报,不知道刘总修复了没有?还请您给个答复。
由于没有录音,我再给大家讲讲现场我观察到的现象,刘总见我们大家面的时候,先寒暄了一下,然后就说呢:他也是清华校友,在学校的时候也特别佩服高等研究院,尤其是姚期智老爷子,我们一听,还不错,果然是名校毕业生,谈吐举止真的很儒雅,我还真的挺开心能认识刘总。
然后就是一大长段的ppt演讲,另外刘总稍微做了点演示,给了点测试账号,反正我也没听懂,不过做过项目验收的朋友应该懂,我就不臆测了。
然后小组就是在他授权的情况下,对其系统做一些测试,评估下完成度,结果呢,测试小组几台电脑访问他的系统竟然会出现服务器不响应,对不响应的问题!!!最后没办法,是使用的刘总那台电脑做的测试,IP地址:127.0.0.1,您懂的,那速度杠杠的。
本着对项目负责的原则,小伙伴们提出希望看下合约,这时候高能来了
刘总说呢,我们负责合约的那个兄弟今天有事没有来,无法给大家展示,到最后离开我们也没有看到合约,只是看到了他和Conflux网络的交互。
说到这个合约,我的问题又来了,刘总项目的合约地址在此:0x8bc2ea8bdc6c264f8c2f23ec939aa93da935e41b,已经很久没有活跃过了,看来项目已经完成的差不多了吧。观看其活跃的频次,结合个人理解,这项目看起来就是想起来交互两笔,主要的交易甚至还是验收那天的交易
而他的合约创建时间竟然是项目临验收的前2天,也就是11月5日,感兴趣的朋友可以用相关的时间管理软件查看,需要说明的是我们的验收是11月7日一大早:
这看起来呢,应该是遇到代码高手了,一个左勾拳,瞬间代码就写好了。
然后我再看下他和合约的交互吧,更神奇的事来了:
以交易hash:0xb6c31ca3128984806d1a24a403bcedebef7156d98cfa715bd9daf4f017137ac8
为例
这到底交互了什么呀,我想确认下?现场没认真听讲,请刘老师指导:
项目结束后,就是紧张的评价阶段
结果骚操作发生了,评测小组负责人催促大家及时并公正的打分,刘总突然发难,把大家搞蒙了,在测评小组的朋友应该都知道,在此我也当回小人,掐头去尾截点图:
观看其过程,几个感觉,
1.老师起的早,5点多就一套组合拳打过来,厉害,向您学习,我也要晚睡早不起;
2.您是不是在纠结什么?不至于吧,您的系统完成度,如果不说和区块链的结合部分,其实非常OK,没必要这么没信心吧,和区块链结合起来的意义,希望您能更多的解释,您的数据在区块链上的到底的作用是啥?以及您这么紧张要一早起来轰炸的目的是啥?
另外,刘总张口闭口就跟我们提海里海里,提您的朋友,截一堆图,然后我一没文化的也看不懂,我想请问下海里是什么?您提他的目的是什么呢?生态项目如果质量好,牛逼,做得完美,给多少钱我们都支持,如果质量一般,带着的玩一把的心态来,那就趁早算了,您好我们也好。
以及呢,他总是在给我们强调,这是验证,验证,验证,很多团队都在做了。我想问下您强调这个验证性的目的是啥?很多团队,有谁?我知道您可能又要用好几个新闻刷屏了,但是请直接指出这些团队的名字,及他们的公开资料。
高潮来了,向刘总学习
那天,刘总竟然加入了守护者社群。后来在这周发生了一件事,刘总承诺他提币后要捐了这笔钱,我想请问刘总,咱们啥时候捐呀?您提的2k多的FC,准备捐给谁呀?请社区朋友们多多监督。另外给个建议,咱们可以设立一个慈善基金,捐给真的有需要的人,我觉得这也是很有意义的!
另外,bounty的师傅们真的应该挺忙的吧,至少我感觉是,您就别把这种小事无限放大了,打币工作非常辛苦,而且到头来都给打了,不能说不敬业吧?
最后是我的祝福,我希望刘总的项目越来越好,您的项目出发点,我觉得特别好,把能源管起来,对社会大有好处,这在我的打分里也有所体现,希望后续能够继续加油,干就完了!
另外,善意的提醒您,您们的系统对应服务器似乎还开放了3389,请确保安全,我知道Ali云有保护机制,但谁知道能不能绕过呢(手动滑稽)。
