腾讯文档 存在巨大安全漏洞,文档中的图片被直接开放在互联网,任何人可以直接访问。
软件地址 https://docs.qq.com 
最近使用腾讯文档发现,里面的图片没有做任何安全限制,任何人只要猜测到地址就可以直接打开。里面的图片仅仅只是做了一下防盗链而已。
验证方式
1,新建一个在线文档后,在里面插入一张图片,然后再图片上面点击右键,复制图片地址
2,新打开一个浏览器的隐身窗口,或者发给你的朋友,用浏览器打开。可发现图片是直接可以访问的,即使你将文档设置为“私有的“。
3.可以看到,不同图片的URL仅仅是有一个hash值在变化,意味着我们可以利用暴力方法,尝试所有的可能的url地址,就可以把所有用户的图片下载下来。
即使机器较少我们也可利用长时间的尝试,获取到部分文档中的图片。
如果有用户不小心,文档中包含敏感信息,就直接泄露了。
后期验证其他云文档的安全性,选择云服务还是要慎重,连腾讯这种大厂安全设计都这么低,用户文档图片都能直接公开。