当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074397

漏洞标题:轻松绕过七牛身份验证上传限制的后缀文件(理论可上传任何文件)

相关厂商:七牛云存储

漏洞作者: ddy

提交时间:2014-09-01 12:19

修复时间:2014-10-16 12:22

公开时间:2014-10-16 12:22

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-01: 细节已通知厂商并且等待厂商处理中
2014-09-01: 厂商已经确认,细节仅向厂商公开
2014-09-11: 细节向核心白帽子及相关领域专家公开
2014-09-21: 细节向普通白帽子公开
2014-10-01: 细节向实习白帽子公开
2014-10-16: 细节向公众公开

简要描述:

哎,七牛现在限制免费用户,非正式用户/非认证用户上传某些后缀文件= =我发现貌似可以轻松跳过耶!
七牛限制这个,估计是怕某些非法(后缀)文件上传吧,这个(绕过验证)应该也算是安全漏洞吧!

详细说明:

首先,你要有一个七牛账号

QQ截图20140829215149.png


注册好了之后,你就是体验用户了

QQ截图20140829215223.png


新建一个空间

QQ截图20140829215247.png


目前已知.css后缀文件,体验用户是不能上传的
(寻找本地文件的时候,屏蔽.css去了,只能自己输入文件名,点确定)

X.png


七牛太狡猾了,寻找本地文件的时候,屏蔽.css,上传之前还判断一次!

QQ截图20140829215337.png


最近什么都流行“一键”

QQ截图20140829215352.png


注册一个tk,把“非法文件”放上去
什么,你不知道tk是免费的吗?给我99wb,我教你注册!

QQ截图20140829220245.png


QQ截图20140829220252.png


访问七牛子域名

QQ截图20140829220458.png


加载成功了
那么,我们的“非法文件”也就上传成功了

QQ截图20140829220514.png


PS,我tk的那个空间里面有css,所以我就直接用空间上面的css了,而不是本地桌面上的css,所以大小不一样
顺便再做一个exe格式的

QQ截图20140829221853.png


QQ截图20140829222007.png


QQ截图20140829222024.png

漏洞证明:

QQ截图20140829215337.png


QQ截图20140829220514.png


QQ截图20140829221853.png


QQ截图20140829222007.png


QQ截图20140829222024.png

修复方案:

你们上传都 懂 设置了后缀判断,难道一键加速网站,缓存到CDN上,再判断一次页不难吧
对了,记得你们上次宕机的时候,一客服说送我100元代金券到现在还没到账!!~~~~(>_<)~~~~
求Rank求礼物!

版权声明:转载请注明来源 ddy@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-09-01 15:08

厂商回复:

七牛不允许上传特定类型的文件,主要缘由是为了预防未认证用户使用七牛建立网站,因为这会涉及更多更复杂的问题。也因此,我们忽略了用户已有网站时的防护。
感谢您对七牛的支持,我们将尽快修补这个漏洞。
关于您的代金券,请私下和我联系提供用户ID和客服QQ。我跑上去为您代催^__^另外请留下您的联系方式,我们另有礼物。

最新状态:

暂无