简要描述:
未验证文件所有者身份, 拿到具体文件信息之后可以直接下载, 但该信息并不易获取.
详细说明:
http://openapi.vdisk.me/?m=file&a=jump_to_s3&uid=UID&fid=FID
没有任何认证即转向具体下载地址, 但需要知道 uid (实为微盘的 vuid) 和 fid (文件编号).
uid 较易获取(如果用户有分享文件). fid 可通过猜测进行, 文件编号比较有序, 难度虽稍大但看起来仍然可行.
如果 fid 能随便拿到的话 Rank 就是 20 了.
漏洞证明:比如在某页上看到
vdisk.filePreview.init("2120379","44104201","pdf");
使用
http://openapi.vdisk.me/?m=file&a=jump_to_s3&uid=2120379&fid=44104201
即可获得该文件.
微盘客户端抓包获得 uid / fid 之后无认证即可同样下载, 故认为是认证有问题.
修复方案:
未分享的文件检测一下 token.
|
发表于 2012-6-6 14:53:31
