蓝奏云优享版未授权访问漏洞分析复现——获取或跳过分享文件提取码拿到文件
注:截止到2024年4月24日该厂商已经进行修复!
该教程仅供参考学习,切勿商业利用,版权归Vistamin所有。
今天给大家带来一个蓝奏云优享版未授权访问漏洞发现利用的教程
蓝奏云优享版app是蓝奏云的衍生版本,相比于一般的网盘工具简单好用,该未授权访问漏洞是在蓝奏云优享版中发现的一个重大安全漏洞,攻击者将一个js代码注入,会返回文件分享的提取码或直接跳过提取码拿到文件。
漏洞查找
【查找语法】:site:www.ilanzou.com/s/
【影响站点】:
列举部分:
1.https://www.ilanzou.com/s/Pzsw3bf
2.https://www.ilanzou.com/s/Uqy7IR6
3.https://www.ilanzou.com/s/hNAnmYc
4.https://www.ilanzou.com/s/g8l7Sk5
5.https://www.ilanzou.com/s/Pzsw3bf
6.https://www.ilanzou.com/s/rU37g56
7.https://www.ilanzou.com/s/LYwygXl
8.https://www.ilanzou.com/s/QXj0ZEU
9.https://www.ilanzou.com/s/zSWIaG临时解决方案
js代码混淆,将验证改为其他方式验证,删除前端js验证;
影响范围
全部web端
攻击复杂度
低
请登录后查看评论内容