腾讯文档巨大安全漏洞,任何人可直接访问文档中的图片

腾讯文档 存在巨大安全漏洞,文档中的图片被直接开放在互联网,任何人可以直接访问。

软件地址  https://docs.qq.com 

最近使用腾讯文档发现,里面的图片没有做任何安全限制,任何人只要猜测到地址就可以直接打开。里面的图片仅仅只是做了一下防盗链而已。

验证方式

1,新建一个在线文档后,在里面插入一张图片,然后再图片上面点击右键,复制图片地址

2,新打开一个浏览器的隐身窗口,或者发给你的朋友,用浏览器打开。可发现图片是直接可以访问的,即使你将文档设置为“私有的“。

3.可以看到,不同图片的URL仅仅是有一个hash值在变化,意味着我们可以利用暴力方法,尝试所有的可能的url地址,就可以把所有用户的图片下载下来。

即使机器较少我们也可利用长时间的尝试,获取到部分文档中的图片。

如果有用户不小心,文档中包含敏感信息,就直接泄露了。

后期验证其他云文档的安全性,选择云服务还是要慎重,连腾讯这种大厂安全设计都这么低,用户文档图片都能直接公开。

猜你喜欢

转载自www.oschina.net/news/107415/docs-qq-pic-exposed
0条评论
添加一条新回复