漏洞挖掘365天挑战——Day051：漏洞报告学习之How I accessed the Sensitive document which I had already deleted

链接：https://pawanchhabria.medium.com/how-i-accessed-the-sensitive-document-which-i-had-already-deleted-adbc1e6fbb25

作者有个程序，需要上一些非常敏感的文件。然后他就想分析分析。

上传假图片

上传完成，然后就返回图片链接。

啊。这个好可怕，哈哈，直接给了链接。发现是放在了AWS S3上的。

发现，这图还可以公开访问。

删除图片

看起来是传了一个文档ID，重复操作之后，算是删除了文件。

但是呢。访问那个URL，图还在。这说明只是前端删除，并没有物理删除，这也不合规。

“漏洞挖掘365天挑战——Day051：漏洞报告学习之How I accessed the Sensitive document which I had already deleted”的一个响应

[…] Day051：漏洞报告学习之How I accessed the Sensitive document which I had already deleted […]

[…] Day051：漏洞报告学习之How I accessed the Sensitive document which I had already deleted […]

请在此输入您的评论... ...

Fill in your details below or click an icon to log in:

电子邮箱地址（必填） (Address never made public)

显示名称（必填）

网站地址

您正在使用您的 WordPress.com 账号评论。 ( 注销 / 更改 )

您正在使用您的 Facebook 账号评论。 ( 注销 / 更改 )

Connecting to %s

Pxiaoer's Blog