【bug】阿里云盘有基础性设计漏洞，会泄露隐私

haole

我解读了你的帖子。大概意思就是说，你首先要知道某个文件的sha1。然后你伪造一个sha1，就不用自己亲自传，就可以把这个文件白瓢到你的网盘里。

但是我觉得这不是什么大问题。这虽然看似是个问题，但他也避免了网盘系统里出现多个sha1相同，文件不同的垃圾。也就是你说的刻意制造的假文件。
也不是什么漏洞，别人的保密文件又怎么会向你公开sha1的数值呢。至于公开的那些，也就没什么保密的必要。

阔空晴云

只要有秒上传存在，都可以通过逆向分析客户端找到秒传所依据的文件hash值算法和接口来"模拟上传"，除非随机上传文件的一小段数据到服务端验证，这样穷举hash值就没用了，毕竟撞车还是很难的。

逸笙

我这边有写这个秒传，可以看看。
阿里是要sha1跟大小的，2个都匹配才秒传，如果大小没有提供，那会给个url让你上传而不秒传。
（我没试过提供错误大小，你们可以试试）
所以应该做不到“按sha1遍历就可以拿到其它所有文件”的事。

sdqu

要能凑足来想要的sha1，没超算是不行的。

燕双鹰

115好像有这个功能，还有对应插件

kieng

这个叫BUG? 扯淡呢吧...  sha1和size必须对应...  撞得撞多久..

就算size值你从1撞到****不算..

既然你知道sha1证明你还是有这个文件啊.或者文件是公开的..

这也算BUG的话.. 那微云也可以.. 只要sha1 + size 也是可以撞出来文件的.

tkzc

隔壁百度也可以啊，md5+size

予我清欢

这人不是虾米倒闭的时候跑评论区怪腾讯的那个吗？
永远不从自己身上找毛病，全是别人的错。

不过直接拿别的用户文件还是不太可能的，没啥可担心的。fileinfo全有了那得多巧合才碰的上

这波啊 这波啊是v2乱闹，狼逻辑稀碎。api那直接说秒传是特性，非授权使用是盗用就完了，整的好像允许使用的api才叫api 未经允许使用的api就不叫api了，这点被人抓着一顿"打"

trips

如果按照你这么说马画藤的Q中转站,微云啥的全是这**ug都不需要鉴权...