开源CDN Goedge被发现鉴权漏洞,泄露了包括用户身份证件在内的大量图片
继被曝出官方投毒后,有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的,但是goedge却没有判断这个字段,还是可以公开访问。
目前只有一个临时解决方案,在数据库执行这个这个命令,把证件附件的状态改一下(改了后就访问不了,审核的时候也看不到),这个bug还需要goedge那边进行修复
UPDATE edgefiles SET state = 0 WHERE type = ‘user.idcard’;
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
方能和安捷自家用的都是Goedge,随便爬一下拿到不少身份证正反面和营业执照的图片。
—— kunkunk
发表回复