AList越权访问-访客用户-存在隐私泄露隐患？ #5656

Doradx · 2023-12-07T06:52:30Z

Doradx
Dec 7, 2023

越权访问

如题，在无痕模式下，未登录任何账号。
如果知晓文件链接，可直接下载未公开数据（访客权限无法访问的数据）。
例如当我配置的访客基本路径是/AliyunDrive/数据共享
而当我直接通过URL访问未授权的路径也可正常下载文件，例如以下链接：
可越权访问的资源，其挂载路径为AliyunDrive/资源，存在越权访问问题。

如果有恶意脚本扫描文件路径，则有极大可能泄露AList挂载的私人文件内容。

禁用访客用户

在禁用访客用户后，依旧可通过链接直接下载文件内容，无需鉴权，存在极大安全隐患。

安全隐患

因AList链接基本是按文件路径构造，很容易进行伪造。
采用脚本伪造文件路径，就极有可能实现对于AList的文件扫描，可能存在极大的隐私泄露隐患。

Answered by Doradx

Dec 7, 2023

已找到解决方案，给全站直链添加签名。
https://alist.nn.ci/zh/config/global.html#%E7%AD%BE%E5%90%8D%E6%89%80%E6%9C%89

View full answer

Doradx · 2023-12-07T08:39:28Z

Doradx
Dec 7, 2023
Author

已找到解决方案，给全站直链添加签名。
https://alist.nn.ci/zh/config/global.html#%E7%AD%BE%E5%90%8D%E6%89%80%E6%9C%89

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Uh oh!

AList越权访问-访客用户-存在隐私泄露隐患？ #5656

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 1 comment

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

Uh oh!

AList越权访问-访客用户-存在隐私泄露隐患？ #5656

Uh oh!

Uh oh!

Doradx Dec 7, 2023

越权访问

禁用访客用户

安全隐患

Replies: 1 comment

Uh oh!

Doradx Dec 7, 2023 Author

Doradx
Dec 7, 2023

Doradx
Dec 7, 2023
Author