【bug】阿里云盘有基础性设计漏洞，会泄露隐私

逸笙

我这边有写这个秒传，可以看看。
阿里是要sha1跟大小的，2个都匹配才秒传，如果大小没有提供，那会给个url让你上传而不秒传。
（我没试过提供错误大小，你们可以试试）
所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

kieng

这个叫BUG? 扯淡呢吧...  sha1和size必须对应...  撞得撞多久..

就算size值你从1撞到****不算..

既然你知道sha1证明你还是有这个文件啊.或者文件是公开的..

这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

iks

一般的网盘在秒传时HASH匹配后还需要上传前64个字节以确定文件确实存在

kuk

百度网盘：MD5 HASH ？
115：SHA1 HASH ？

haole

我解读了你的帖子。大概意思就是说，你首先要知道某个文件的sha1。然后你伪造一个sha1，就不用自己亲自传，就可以把这个文件白瓢到你的网盘里。

但是我觉得这不是什么大问题。这虽然看似是个问题，但他也避免了网盘系统里出现多个sha1相同，文件不同的垃圾。也就是你说的刻意制造的假文件。
也不是什么漏洞，别人的保密文件又怎么会向你公开sha1的数值呢。至于公开的那些，也就没什么保密的必要。

jdunion

能说说这个，你打算用来做什么吗

熊猫酿酒

是不是用乐发送公钥的

晴晴晴

用脚就能修复 承认啥啊

木易酱

这个功能是模仿115的，目前没有爆出115出过偷文件的问题

xuh

夸克啊，以前记得提交一个chevereto，点击上传没反应的bug。直到我卸载都没修复

主菜单

这不是好事么，过两天可以出一个伪离线下载油猴脚本