发帖原因#
起因是我昨天在L站发帖发现引用我的图床出错了(我全站有反机器人规则)。然后突然想起来了这个酷安漏洞,不知道现在还有没有。
由于本人之前一直活跃于水深火热,对官方乌烟瘴气的酷安社区,而酷安因为我使用插件以及利用(没干坏事)这个漏洞把我所有账号与设备全部封禁。
但是他们修复bug好像修错了(我当时用这个漏洞给酷安帖子直接引用了酷安的OSS对象存储,然后我发现没有防盗链,闲着没事直接当博客的同步图床使了…主要是我觉得同步图片挺麻烦的)。
本人态度详见结语。
我无法直接与酷安官方取得联系,所以我打算公开一下。
内容具体表现概括为:一种通过酷安302跳转api的绕过域名校验的图片引用方法
复现方法:#
1.发布任意带图片的动态 2.使用抓包软件,去酷安编辑动态并抓包,找到图片部分,使用以下链接302API(我想不出为什么要设置成302,太不安全了)替换图片链接:
https://coolapk.com/link?url=[图片的完整链接(URL)]3.成功发布并引用外部图片 4.等待号没
分析和启示#
酷安的防外链设置为*.coolapk.com,而外链API是使用了302代码,且对站外链接处理不当。没有处理OSS敏感机密。
我们在外链跳转时应该使用严格的匹配,不随意302外链内容。我们的对象存储防盗链不应该设置为空,反代OSS时处理OSS桶的机密内容。我们的软件中的外链引用限制要保持最小化(避免泛域名这种的白名单)。
结语#
我酷安号没了,不知道酷安是否修复了此漏洞 不建议去拿大号试,也不要在自己登录过账号的设备试,我不知道我的酷安账号为什么被封,是盗链酷安当图床导致可能的被他人攻击还是用插件之类的什么原因,也不知道酷安会不会追究法律责任。这只是一个漏洞,本人不是酷安程序员,也没法对此漏洞进行修复。本人为滥用酷安外链的行为抱歉,并且在账号被封后已经注销酷安账号(无法联系到酷安管理员,酷安管理员不回我消息)。本人不对在酷安的行为负任何法律责任。本文仅为感想与技术交流用途,严禁恶意运用此Bug。
本帖首先在linux do发布