主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
在隔壁看到的 大体上是说有人发现阿里云盘的秒传文件是基于sha1/hash的,进一步发现这个sha1是不需要任何认证和鉴权的 也就是说,如果你上传一个假sha1的文件到自己的云盘上,阿里会把别人的文件直接存到你的盘里面 如果你有时间和兴趣,那么所有用户的所有文件你都能搞到,所有! 对了,貌似阿里云盘并不想修复这个问题,强行叫它feature 下一页是截图 |
注册说: 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试过提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。
imes说: 这个叫BUG? 扯淡呢吧… sha1和size必须对应… 撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.
逸笙说: 阿里云盘不仅没有弄,被发现了甚至不想承认
kieng说: 一般的网盘在秒传时HASH匹配后还需要上传前64个字节以确定文件确实存在
imes说: 百度网盘说:MD5 HASH ? 115说:SHA1 HASH ?
千牛说: 用脚就能修复 承认啥啊
jdunion说: 这个功能是模仿115的,目前没有爆出115出过偷文件的问题
熊猫酿酒说: 夸克啊,以前记得提交一个chevereto,点击上传没反应的bug。直到我卸载都没修复
晴晴晴说: 这不是好事么,过两天可以出一个伪离线下载油猴脚本
注册说: 我解读了你的帖子。大概意思就是说,你首先要知道某个文件的sha1。然后你伪造一个sha1,就不用自己亲自传,就可以把这个文件白瓢到你的网盘里。 但是我觉得这不是什么大问题。这虽然看似是个问题,但他也避免了网盘系统里出现多个sha1相同,文件不同的垃圾。也就是你说的刻意制造的假文件。 也不是什么漏洞,别人的保密文件又怎么会向你公开sha1的数值呢。至于公开的那些,也就没什么保密的必要。
注册说: 只要有秒上传存在,都可以通过逆向分析客户端找到秒传所依据的文件hash值算法和接口来”模拟上传”,除非随机上传文件的一小段数据到服务端验证,这样穷举hash值就没用了,毕竟撞车还是很难的。
haole说: 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试过提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。
sdqu说: 这个叫BUG? 扯淡呢吧… sha1和size必须对应… 撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.
tkzc说: 这人不是虾米倒闭的时候跑评论区怪腾讯的那个吗? 永远不从自己身上找毛病,全是别人的错。 不过直接拿别的用户文件还是不太可能的,没啥可担心的。fileinfo全有了那得多巧合才碰的上 这波啊 这波啊是v2乱闹,狼逻辑稀碎。api那直接说秒传是特性,非授权使用是盗用就完了,整的好像允许使用的api才叫api 未经允许使用的api就不叫api了,这点被人抓着一顿”打”
naohion说: 如果按照你这么说马画藤的Q中转站,微云啥的全是这**ug都不需要鉴权…
注册说: 不会吧不会吧不会吧,网页的问题你让浏览器帮你修?绝了
XieZeBin说: 百度网盘说:MD5 HASH ? 115说:SHA1 HASH ?
陈先森说: 以前在大学做过这种P2P的比赛作品,我们是按特定步长抽固定块做hash比对
主机参考zhujicankao.com_收集国内外VPS,VPS测评,主机测评,云服务器,虚拟主机,独立服务器,国内外服务器,高性价比建站主机相关优惠信息
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台
这几篇文章你可能也喜欢:
- 如果WordPress网站遇到404错误该怎么办?快速故障排除和维修方法分享
- 最新消息:织梦CMS管理系统(DedeCMS)正式收费,除个人非营利网站外均需购买商业使用授权,单域名授权费5800元
- 高防御服务器的一般防御有多少?怎么如何选择高防御服务器呢?
- 快速解决DNS服务器无响应问题的四个技巧
- 什么是docker?docker的原则和好处是什么
本文由主机参考刊发,转载请注明:便宜国外vps论坛_【bug】阿里云盘有基础性设计漏洞,会泄露隐私 https://zhujicankao.com/56204.html
评论前必须登录!
注册