VPS参考测评推荐
专注分享VPS主机优惠信息
衡天云优惠活动
华纳云优惠活动
荫云优惠活动

便宜国外vps论坛_【bug】阿里云盘有基础性设计漏洞,会泄露隐私

主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情!
我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作

在隔壁看到
大体上是说有人发现阿里云盘的秒传文件是基于sha1/hash的,进一步发现这个sha1是不需要任何认证和鉴权的
也就是说,如果你上传一个假sha1的文件到自己的云盘上,阿里会把别人文件直接存到你的盘里面

如果你有时间和兴趣,那么所有用户的所有文件你都能搞到,所有!

对了,貌似阿里云盘并不想修复这个问题,强行叫它feature

下一页是截图

各路大神回复说:

注册说: 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

imes说: 这个叫BUG? 扯淡呢吧…  sha1和size必须对应…  撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

逸笙说: 阿里云盘不仅没有弄,被发现了甚至不想承认

kieng说: 一般的网盘在秒传时HASH匹配后还需要上传前64个字节以确定文件确实存在

imes说: 百度网盘说:MD5 HASH ? 115说:SHA1 HASH ?

iks说: 能说说这个,你打算用来做什么

冲浪麦浪花郎说: 是不是用乐发送公钥的

千牛说: 用脚就能修复 承认啥啊

kuk说: 115的sha1油猴脚本了解一下。

jdunion说: 这个功能是模仿115的,目前没有爆出115出过偷文件的问题

熊猫酿酒说: 夸克啊,以前记得提交一个chevereto点击上传没反应的bug。直到我卸载都没修复

晴晴晴说: 这不是好事么,过两天可以出一个伪离线下载油猴脚本

注册说: 我解读了你的帖子大概意思就是说,你首先要知道某个文件的sha1。然后你伪造一个sha1,就不用自己亲自传,就可以这个文件白瓢到你的网盘里。 但是我觉得这不是什么大问题。这虽然看似是个问题,但他也避免网盘系统里出现多个sha1相同,文件不同垃圾。也就是你说的刻意制造的假文件。 也不是什么漏洞别人的保密文件怎么会向你公开sha1的数值呢。至于公开的那些,也就没什么保密的必要。

注册说: 只要有秒上传存在,都可以通过逆向分析客户端找到秒传所依据的文件hash值算法和接口来”模拟上传”,除非随机上传文件的一小段数据到服务端验证,这样穷举hash值就没用了,毕竟撞车还是很难的。

haole说: 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

阔空晴云说: 要能凑足来想要的sha1,没超算是不行的。

逸笙说: 115好像有这个功能,还有对应插件

sdqu说: 这个叫BUG? 扯淡呢吧…  sha1和size必须对应…  撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

燕双鹰说: 隔壁百度可以啊,md5+size

kieng说: 百度云不也是

tkzc说: 这人不是虾米倒闭的时候跑评论区怪腾讯的那个吗? 永远不从自己身上找毛病,全是别人的错。 不过直接拿别的用户文件还是不太可能的,没啥可担心的。fileinfo全有了那得多巧合才碰的上 这波这波啊是v2乱闹,狼逻辑稀碎。api那直接说秒传是特性,非授权使用是盗用就完了,整的好像允许使用的api才叫api 未经允许使用的api就不叫api了,这点被人抓着一顿”打”

naohion说: 如果按照你这么说马画藤的Q中转站,微云啥的全是这**ug都不需要鉴权…

注册说: 不会不会不会吧,网页的问题你让浏览器帮你修?绝了

注册说: 吃瓜群众路过

XieZeBin说: 百度网盘说:MD5 HASH ? 115说:SHA1 HASH ?

陈先森说: 以前在大学做过这种P2P的比赛作品,我们是按特定步长抽固定块做hash比对

主机参考zhujicankao.com_收集国内VPSVPS测评主机测评云服务器虚拟主机独立服务器国内服务器高性价比建站主机相关优惠信息
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台

这几篇文章你可能也喜欢:

本文由主机参考刊发,转载请注明:便宜国外vps论坛_【bug】阿里云盘有基础性设计漏洞,会泄露隐私 https://zhujicankao.com/56204.html

【腾讯云】领8888元采购礼包,抢爆款云服务器 每月 9元起,个人开发者加享折上折!
打赏
转载请注明原文链接:主机参考 » 便宜国外vps论坛_【bug】阿里云盘有基础性设计漏洞,会泄露隐私
主机参考仅做资料收集,不对商家任何信息及交易做信用担保,购买前请注意风险,有交易纠纷请自行解决!请查阅:特别声明

评论 抢沙发

评论前必须登录!