设为首页
收藏本站
开启辅助访问
全部
问与答
创意
技术
酷工作
生活
交易
资源
节点
飞墙
Follow
明白贴
报酬
登录
注册
飞社-令人惊奇的创意工作者社区-
›
首页
›
程序员
›
大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的 ...
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?
立即注册
推荐主题
›
我这周不想通勤回去了,但是心里又很内疚咋
›
115 历史跑路事迹整理
›
giffgaff 流量注册了两个 gmail,基本上是注
›
本以为国产安卓这几年发展替代苹果没啥大问
›
今日买入博纳影业
今日热议主题
想问下 Mate TV 怎么样
我发现不同的 AI 有不同的性格
surge for ios 拼车找人 90/车位
年龄欺骗朋友,深度聊天聊错嘴了,咋整??
没看过阿凡达 2,可以直接看阿凡达 3 吗
做了一个简历自动优化的网站
好朋友之间有利益牵扯以后真的就变味了吗
通过中转 apikey 使用 cc 的/chrome 功能登
android 是否有可以语音添加待办事项的 app
探讨:动态未知环境下,基于单设备异构传感
显示全部
|
最新评论
42 条回复
·
1349 次点击
21#
l2d
小成
2024-9-17 14:13:59
一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。
但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。
阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。
22#
securityCoding
初学
2024-9-17 18:06:20
应该 mybatis where 条件匹配拉空了导致越权吧
23#
nyxsonsleep
初学
2024-9-17 20:49:16
@arongpm #18 群晖吗?
24#
GeekGao
小成
2024-9-17 21:20:21
鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ,上级部门要追分享过程的路径,也好举证嘛。 这么看来,阿里网盘是通过 Log 埋点串起用户行为的。
25#
dream7758522
初学
2024-9-17 22:34:54
本质上,阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储,就算是别人的网盘资料泄露,看到的应该是一堆损坏了的乱码图片。细思极恐
26#
catazshadow
小成
2024-9-17 23:45:26
阿里根本不是个科技公司,其实就是个所有中层都之对上负责的税收机构、放贷机构
27#
so2back
小成
2024-9-18 00:41:46
这个确实离谱,那天晚上我 7 点看到群里有人发聊天记录后试了下能复现,那个聊天记录还是 6 点开头的,整整一个钟都没修复好
28#
logic2
初学
2024-9-18 05:07:49
@allanzhuo 😂太正常了,越大公司,能形成合力输出 不到 30%,其余 10%在各种低效的会议,60%在搞宫斗
29#
edcopclub
小成
2024-9-18 08:51:02
内部权限配给普通用户
30#
zliea
小成
2024-9-18 09:00:34
@dream7758522 这个加密指的是落盘加密,哈哈哈
下一页 »
1
2
3
4
5
/ 5 页
下一页
浏览过的版块
问与答
技术
剧集
返回顶部