这是一个创建于 158 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的管理后台有 oss 存储 不登录是无法上传文件的,最近有一些奇怪的文件路径 而且是 html 格式 类似这种 里面是混淆的代码:
http://oss.xxx.yyy.com/wdNEmoCm/yXallABb.html 这个是什么情况
 | 1 aru 158 天前 oss 的 apikey secrect 泄漏了 上传接口没鉴权被人扫到了 服务器被人黑了,看到代码 代码不小心公开了 可能性太多了 |
 | 2 chroha 158 天前 某些 OSS 配置可能允许匿名用户上传文件 有没有集成外部 API 或插件 |
 | 3 zerozerone 158 天前 被 hui 产利用了 |
 | 4 xiaolin97 158 天前 DNS 泄漏 |
 | 5 v1 158 天前 那些 html 都是瑟瑟或菠菜的推广页、落地页 |
 | 6 Seanfuck 158 天前 哪个云?我在某 tos 也遇到过,不过文件是些没意义的很小的文件,不像是被黑,关掉公共写就好了。 |
 | 7 macaodoll 158 天前 via iPhone 去百度搜你 oss 域名,看下不是组里某些小可爱为了水一篇博客文章直接给你 ak sk 全部没打码直接粘贴到 csdn 之流了。我见过好几个这种小可爱了 |
 | 8 MIUIOS 158 天前 爬虫,而且可以 dns 反解析顺腾摸瓜出全部,很多 oss 都是共用一个 CDN IP 这样超级容易被一窝端 |
 | 12 ccc008 157 天前 服务器被黑了+1 |
 | 13 MagicalCarl 157 天前  1 有前端上传 OSS 吗,有的话密钥是怎么下发的?临时密钥和文件预签名都能被利用,既然是需要登录,就是用户作案 |
 | 14 lyxxxh2 157 天前 服务器入侵我觉得不太可能,服务器价值远比 oss 高。 你提供的东西不够详细,范围有点大 1. oss 是私写? 我当你是 2. 是 oss 直传? 那就可能是 api 泄露(被别人扫到了 api 文档且没密码 或者被 api 厂家卖了?) 3. 不登陆无法上传? 确定吗? 比如 wangeditor,自己扩展 oss 上传,api 没鉴权的话,又是随便上传。 4. apikey secrect 泄露? 倒也可能同事发帖 git 仓库等... |
 | 15 importmeta 157 天前 OSS 设置私有, 用 STS 上传文件, 文档上不都写着吗? 就算暴露了也没事啊, 让前端上传就得用公网 OSS 地址啊! 阿里云公共的一些 OSS 服务, 也暴露的公网 OSS 地址啊! |
Select Language