- A+
所属分类:Seay信息安全博客
显示不全请点击全屏阅读
简要描述:
未验证文件所有者身份, 拿到具体文件信息之后可以直接下载, 但该信息并不易获取.
详细说明:
http://openapi.vdisk.me/?m=file&a=jump_to_s3&uid=UID&fid=FID
没有任何认证即转向具体下载地址, 但需要知道 uid (实为微盘的 vuid) 和 fid (文件编号).
uid 较易获取(如果用户有分享文件). fid 可通过猜测进行, 文件编号比较有序, 难度虽稍大但看起来仍然可行.
如果 fid 能随便拿到的话 Rank 就是 20 了.
漏洞证明:比如在某页上看到
vdisk.filePreview.init(“2120379″,”44104201″,”pdf”);
使用
http://openapi.vdisk.me/?m=file&a=jump_to_s3&uid=2120379&fid=44104201
即可获得该文件.
微盘客户端抓包获得 uid / fid 之后无认证即可同样下载, 故认为是认证有问题.
修复方案:
未分享的文件检测一下 token.
来源:网络收集
Tags:
如果您喜欢我的博客,欢迎点击图片定订阅到邮箱
也可以点击链接【订阅到鲜果】
如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
