一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参，你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权，这是比较常见的问题。
但是上述情况你得抓包才能看见问题，所以非技术人员不知道，舆论影响没那么大。
阿里云盘这个，主要功能越权的同时展现在前端，放在整个互联网行业都是相当低级的错误。除了研发的疏忽，安全工程师没发现这个问题，也得背大锅。

应该 mybatis where 条件匹配拉空了导致越权吧

@arongpm #18 群晖吗？

鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ，上级部门要追分享过程的路径，也好举证嘛。 这么看来，阿里网盘是通过 Log 埋点串起用户行为的。

本质上，阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储，就算是别人的网盘资料泄露，看到的应该是一堆损坏了的乱码图片。细思极恐

阿里根本不是个科技公司，其实就是个所有中层都之对上负责的税收机构、放贷机构

这个确实离谱，那天晚上我 7 点看到群里有人发聊天记录后试了下能复现，那个聊天记录还是 6 点开头的，整整一个钟都没修复好

@allanzhuo 😂太正常了，越大公司，能形成合力输出 不到 30%，其余 10%在各种低效的会议，60%在搞宫斗

内部权限配给普通用户

@dream7758522 这个加密指的是落盘加密，哈哈哈