漏洞挖掘365天挑战——Day051:漏洞报告学习之How I accessed the Sensitive document which I had already deleted

链接:https://pawanchhabria.medium.com/how-i-accessed-the-sensitive-document-which-i-had-already-deleted-adbc1e6fbb25

作者有个程序,需要上一些非常敏感的文件。 然后他就想分析分析。

上传假图片

上传完成,然后就返回图片链接。

啊。这个好可怕,哈哈,直接给了链接。发现是放在了AWS S3上的。

发现,这图还可以公开访问。

删除图片

看起来是传了一个文档ID,重复操作之后,算是删除了文件。

但是呢。 访问那个URL,图还在。这说明只是前端删除,并没有物理删除,这也不合规。

漏洞挖掘365天挑战——Day051:漏洞报告学习之How I accessed the Sensitive document which I had already deleted”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s