【bug】阿里云盘有基础性设计漏洞,会泄露隐私

提供vpsmjj信息【bug】阿里云盘有基础性设计漏洞,会泄露隐私是很好的服务器交流推荐63357文章

在隔壁看到的
大体上是说有人发现阿里云盘的秒传文件是基于sha1/hash的,进一步发现这个sha1是不需要任何认证和鉴权的
也就是说,如果你上传一个假sha1的文件到自己的云盘上,阿里会把别人的文件直接存到你的盘里面

如果你有时间和兴趣,那么所有用户的所有文件你都能搞到,所有!

对了,貌似阿里云盘并不想修复这个问题,强行叫它feature

下一页是截图

在隔壁看到的
大体上是说有人发现阿里云盘的秒传文件是基于sha1/hash的,进一步发现这个sha1是不需要任何认证和鉴权的
也就是说,如果你上传一个假sha1的文件到自己的云盘上,阿里会把别人的文件直接存到你的盘里面

如果你有时间和兴趣,那么所有用户的所有文件你都能搞到,所有!

对了,貌似阿里云盘并不想修复这个问题,强行叫它feature

下一页是截图

网友回复:

注册 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试过提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

imes 这个叫BUG? 扯淡呢吧…  sha1和size必须对应…  撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

逸笙 阿里云盘不仅没有弄,被发现了甚至不想承认

kieng 一般的网盘在秒传时HASH匹配后还需要上传前64个字节以确定文件确实存在

imes 百度网盘:MD5 HASH ? 115:SHA1 HASH ?

iks 能说说这个,你打算用来做什么吗

冲浪麦浪花郎 是不是用乐发送公钥的

千牛 用脚就能修复 承认啥啊

kuk 115的sha1油猴脚本了解一下。

jdunion 这个功能是模仿115的,目前没有爆出115出过偷文件的问题

熊猫酿酒 夸克啊,以前记得提交一个chevereto,点击上传没反应的bug。直到我卸载都没修复

晴晴晴 这不是好事么,过两天可以出一个伪离线下载油猴脚本

注册 我解读了你的帖子。大概意思就是说,你首先要知道某个文件的sha1。然后你伪造一个sha1,就不用自己亲自传,就可以把这个文件白瓢到你的网盘里。 但是我觉得这不是什么大问题。这虽然看似是个问题,但他也避免了网盘系统里出现多个sha1相同,文件不同的垃圾。也就是你说的刻意制造的假文件。 也不是什么漏洞,别人的保密文件又怎么会向你公开sha1的数值呢。至于公开的那些,也就没什么保密的必要。

注册 只要有秒上传存在,都可以通过逆向分析客户端找到秒传所依据的文件hash值算法和接口来”模拟上传”,除非随机上传文件的一小段数据到服务端验证,这样穷举hash值就没用了,毕竟撞车还是很难的。

haole 我这边有写这个秒传,可以看看。 阿里是要sha1跟大小的,2个都匹配才秒传,如果大小没有提供,那会给个url让你上传而不秒传。 (我没试过提供错误大小,你们可以试试) 所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

阔空晴云 要能凑足来想要的sha1,没超算是不行的。

逸笙 115好像有这个功能,还有对应插件

sdqu 这个叫BUG? 扯淡呢吧…  sha1和size必须对应…  撞得撞多久.. 就算size值你从1撞到****不算.. 既然你知道sha1证明你还是有这个文件啊.或者文件是公开的.. 这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

燕双鹰 隔壁百度也可以啊,md5+size

kieng 百度云不也是

tkzc 这人不是虾米倒闭的时候跑评论区怪腾讯的那个吗? 永远不从自己身上找毛病,全是别人的错。 不过直接拿别的用户文件还是不太可能的,没啥可担心的。fileinfo全有了那得多巧合才碰的上 这波啊 这波啊是v2乱闹,狼逻辑稀碎。api那直接说秒传是特性,非授权使用是盗用就完了,整的好像允许使用的api才叫api 未经允许使用的api就不叫api了,这点被人抓着一顿”打”

naohion 如果按照你这么说马画藤的Q中转站,微云啥的全是这**ug都不需要鉴权…

注册 不会吧不会吧不会吧,网页的问题你让浏览器帮你修?绝了

注册 吃瓜群众路过

XieZeBin 百度网盘:MD5 HASH ? 115:SHA1 HASH ?

陈先森 以前在大学做过这种P2P的比赛作品,我们是按特定步长抽固定块做hash比对

部分来自互联网,侵权联系删除

www.a1fz.com A1fz网专注于福利分享,各种破解软件学习资料,视频教程等等,如有侵权告知管理员删除
A1fz.com,福利吧,宅男福利,宅男,福利社,福利,有福利 » 【bug】阿里云盘有基础性设计漏洞,会泄露隐私

发表评论