大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的

56 天前
 xiaohupro

这几天阿里网盘泄露用户隐私的重大 bug 大家应该都知道了,但是我很难理解这种 bug 是什么导致的?按道理登录已经鉴权了,自己存的东西理论上肯定是有和用户唯一标识对应的关系呀,怎么会存在能看到其他用户内容的情况,大家一起来分析分析。

11272 次点击
所在节点    程序员
49 条回复
jinliming2
56 天前
@hiboshi #16 貌似说不太通。目前看到的复现案例,有多个数据一样的,甚至顺序都一样。
如果是国内 ID 和新加坡 ID 冲突,导致新建的国内相册 ID 碰撞到了新加坡相同 ID 的数据。那就解释不通多个人能碰撞到完全相同的相册了,国内新建相册 ID 不至于都重复吧?
l2d
56 天前
一般的水平越权都是接口级别。比如一个 get 查询接口存在 id 入参,你替换 id 抓包能看到别人的内容。因为后端接口没做鉴权,这是比较常见的问题。
但是上述情况你得抓包才能看见问题,所以非技术人员不知道,舆论影响没那么大。
阿里云盘这个,主要功能越权的同时展现在前端,放在整个互联网行业都是相当低级的错误。除了研发的疏忽,安全工程师没发现这个问题,也得背大锅。
securityCoding
56 天前
应该 mybatis where 条件匹配拉空了导致越权吧
nyxsonsleep
56 天前
@arongpm #18 群晖吗?
GeekGao
56 天前
鉴权参数不健全。怎么三元组(sessionId, userId, AlbumId) 匹配一下吧。毕竟 Album 也会被 shared ,上级部门要追分享过程的路径,也好举证嘛。 这么看来,阿里网盘是通过 Log 埋点串起用户行为的。
GeekGao
56 天前
所以,大概率是架构设计存在一些安全缺陷。
dream7758522
56 天前
本质上,阿里云盘介绍页面上说的加密存储是骗人的。既然是加密存储,就算是别人的网盘资料泄露,看到的应该是一堆损坏了的乱码图片。细思极恐
catazshadow
56 天前
阿里根本不是个科技公司,其实就是个所有中层都之对上负责的税收机构、放贷机构
so2back
56 天前
这个确实离谱,那天晚上我 7 点看到群里有人发聊天记录后试了下能复现,那个聊天记录还是 6 点开头的,整整一个钟都没修复好
logic2
56 天前
@allanzhuo 😂太正常了,越大公司,能形成合力输出 不到 30%,其余 10%在各种低效的会议,60%在搞宫斗
arongpm
56 天前
@nyxsonsleep 不是,我买的是 qnap
edcopclub
56 天前
内部权限配给普通用户
zliea
55 天前
@dream7758522 这个加密指的是落盘加密,哈哈哈
EndlessMemory
55 天前
没做鉴权
nyxsonsleep
55 天前
@l2d #21 其实以前百度网盘也出过,我还自己测试过看看别人存了什么。
JoeDH
55 天前
假期泡汤+325
realJamespond
55 天前
接口仔的问题呗,又不代表阿里云核心技术实力
weixind
55 天前
@JoeDH 要看是不是嫡系,嫡系可能就轻拿轻放,非嫡系大概率有不少人要卷铺盖
jixiangqd
55 天前
去企查查,阿里云盘的归属是个第三方公司,也就是说这个产品是外包的,所以各种操作才那么骚。出这种 bug 也见怪不怪了
angeni
55 天前

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073418

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX