这是一个创建于 90 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的管理后台有 oss 存储 不登录是无法上传文件的,最近有一些奇怪的文件路径 而且是 html 格式 类似这种 里面是混淆的代码:
http://oss.xxx.yyy.com/wdNEmoCm/yXallABb.html
这个是什么情况
 |
1
aru 90 天前
oss 的 apikey secrect 泄漏了
上传接口没鉴权被人扫到了 服务器被人黑了,看到代码 代码不小心公开了 可能性太多了 |
 |
2
chroha 90 天前
某些 OSS 配置可能允许匿名用户上传文件
有没有集成外部 API 或插件 |
 |
3
zerozerone 90 天前
被 hui 产利用了
|
 |
4
xiaolin97 90 天前
DNS 泄漏
|
 |
5
kk2syc 90 天前
那些 html 都是瑟瑟或菠菜的推广页、落地页
|
 |
6
Seanfuck 89 天前
哪个云?我在某 tos 也遇到过,不过文件是些没意义的很小的文件,不像是被黑,关掉公共写就好了。
|
 |
7
macaodoll 89 天前 via iPhone
去百度搜你 oss 域名,看下是不是组里某些小可爱为了水一篇博客文章直接给你 ak sk 全部没打码直接粘贴到 csdn 之流了。我见过好几个这种小可爱了
|
 |
8
totoro52 89 天前
爬虫,而且可以 dns 反解析顺腾摸瓜出全部,很多 oss 都是共用一个 CDN IP 这样超级容易被一窝端
|
 |
12
ccc008 89 天前
服务器被黑了+1
|
 |
13
MagicalCarl 89 天前  1
有前端上传 OSS 吗,有的话密钥是怎么下发的?临时密钥和文件预签名都能被利用,既然是需要登录,就是用户作案
|
 |
14
lyxxxh2 89 天前
服务器入侵我觉得不太可能,服务器价值远比 oss 高。
你提供的东西不够详细,范围有点大 1. oss 是私写? 我当你是 2. 是 oss 直传? 那就可能是 api 泄露(被别人扫到了 api 文档且没密码 或者被 api 厂家卖了?) 3. 不登陆无法上传? 确定吗? 比如 wangeditor,自己扩展 oss 上传,api 没鉴权的话,又是随便上传。 4. apikey secrect 泄露? 倒也可能同事发帖 git 仓库等... |
 |
15
importmeta 89 天前
OSS 设置私有, 用 STS 上传文件, 文档上不都写着吗?
就算暴露了也没事啊, 让前端上传就得用公网 OSS 地址啊! 阿里云公共的一些 OSS 服务, 也暴露的公网 OSS 地址啊! |
Select Language