Caution
本版包含重要安全修复,不管出于任何理由,您都应该更新到此修复版本。
关键安全性修复
- 【重要】修复了因错误使用 ORM 框架导致潜在 SQL 注入的问题 @Ghost-chu @paulzzh
- 恶意攻击者可通过在查询参数中插入 SQL 片段,执行任意 SQL 查询
- 【重要】修复了登录接口的 POST 登陆方式没有覆盖暴力破解防护的问题 @Ghost-chu
- 恶意攻击者可能对登录接口发起暴力破解穷举 WebUI Token 以获取 WebUI 访问权限,并间接获取连接的下载器的 WebUI 权限
- 添加了
robots.txt
并拒绝任何搜索引擎索引并避免在搜索引擎中暴露,但依然可能被 Censys 等网络空间测绘引擎发现,建议使用防火墙保护 @Ghost-chu- 如果 PBH 部署在二级目录下,请自行管理
robots.txt
- 如果 PBH 部署在二级目录下,请自行管理
- 仅在登录阶段传递 Token,避免明文 WebUI Token 泄露
新功能
- 图表数据现在支持分下载器查看 @Gaojianli @Ghost-chu @paulzzh
- WebUI 现在支持自定义脚本编辑 @Gaojianli @Ghost-chu
- 通过编程的方式构建自己的反吸血逻辑
- 只有在局域网内直接访问 WebUI 才能添加和编辑脚本;通过互联网或者反向代理访问时,仅能查看脚本,不可添加修改编辑
- 安全警告:自定义脚本可执行任意代码,请仅添加来自可信来源的脚本
- 【重要】BTN 新增 “脚本规则” 规则类型,PeerBanHelper 现在可接收来自 BTN 服务器下发的脚本以提升基于云的检测防护能力,提高封禁的灵活和精确性 @Ghost-chu
- 需要手动在 “设置->基础设置->BTN” 开启 “启用脚本执行” 开关,此功能才会生效。请仅在可信 BTN 服务器上启用此功能。
- WebUI 现在可以进行堆内存转储 @Gaojianli
- BTN 能力列表页面现在可查看云端规则数量和规则版本号 @Gaojianli @Ghost-chu
- 其它用户体验改善
错误修复
- 【重要】优化了 IPMatcher 的CPU和内存占用,解决了困扰已久的规则过多时内存溢出的问题并大幅缩短了匹配 IP 时的 CPU 占用和匹配耗时,现在空载内存仅需要 92MB(GUI) @Ghost-chu @paulzzh
- 请注意:自 2024/11/06 后,旧版本(< 7.1.0) PBH 可能由于 IP 屏蔽列表的增长而耗尽内存,为了保证正常运行,请升级版本或者更改其最大堆内存
- 修复了当添加支持完整 PeerID 的下载器(如:BiglyBT/Azureus/Vuze、BitComet 或者 Deluge)时,查看 PeerID 饼图时完全不可读的问题 @Ghost-chu
- Windows GUI 的打开 WebUI 按钮现在能够自动填充 token 登录 WebUI
Docker
DockerHub: ghostchu/peerbanhelper:v7.1.0
阿里云国内镜像加速: registry.cn-hangzhou.aliyuncs.com/ghostchu/peerbanhelper:v7.1.0
本版已知问题
- 流量图表可能显示为空