第一次写文章师傅们 轻喷~
起因
大二学生上课摸鱼,然后正常在测一些东西,emm 偶然在前端发现
发现了 AK 等字样~ 心里窃喜 洞要来了 😀 !!
直接用现成的工具 就好
然后进一步利用的话 可以做存储桶的拼接
log.xxx.12345678.cos.ap-shanghai-cos.myqcloud.com
这样的话又可以进一步增加危害了~
不过事实上 访问之后 并没有做限制 也就是另一个师傅前几天说的
(在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶)
emm这个洞也是给了 6500 块(这不展示了 展示了师傅们就知道哪个厂了^)
结果
摸鱼的一天就这样结束了~ 如果师傅们有更骚的操作的话 可以跟我讨论 ~
