V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
islaohu
V2EX  ›  程序员

腾讯云 COS 建议大家别用了 URL Query 都能搞成违规

  •  
  •   islaohu · 2023-12-06 23:05:02 +08:00 · 3772 次点击
    这是一个创建于 386 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先表现为,访问组件世界时候直接返回这样的类似于 404 的错误页面(不能传图,直接写内容了)

    第 451 章 因法律原因无法联系
    代码:因法律原因不可用
    消息:由于内容非法,指定的密钥不可用。
    关键:index.html
    请求 ID:NjU3MDQwOWZfZWQ3MGYyMDlfMzhlOF9iOTNlNGZh
    TraceId:OGVmYzZiMmQzYjA2OWNhODk0NTRkMTBiOWVmMDAxODc0OWRkZjk0ZDM1NmI1M2E2MTRlY2MzZDhmNmI5MWI1OTQ5YWUxMjNkYTk3NzdjZmZlMDQzOTgxOThkOTNlOWFkMmM3MjgzMj ZlOWZkNDc1NzMwNTljY2I5M2RmYWFmMjc=
    

    随即我就去查了一下腾讯云私信,发现了一个通知

     [腾讯云] 您使用的腾讯云服务存在违规信息,已被限制访问
    尊敬的腾讯云用户,您好!
    
    您的腾讯云账号(账号 ID: **********, 昵称: *******@qq.com )下的 COS 服务存在违规信息,http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 已被限制访问,您可以前往对象存储控制台违规列表页面查看具体信息。感谢您的理解和支持!
    
    违规类型:内容违规
    
    违规资源: http://widgetstore-*******.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com
    
    温馨提示:
    1. 违规信息类型说明;
    2. 您可参考对象存储安全管理实践加强自身业务数据的安全管理;
    3. 请您在处理前备份您的重要数据;
    4. 本通知以站内信、邮件、短信等方式触达,如需修改接收方式可登录控制台->账号信息->消息订阅中选择内容安全产品进行修改;
    5. 鉴于您名下账号的违规性质及违规频次,腾讯云可能根据 《中华人民共和国网络安全法》、《电信业务经营许可管理办法》及《腾讯云服务协议》等相关规定,有权限制、暂停、终止向您提供部分或全部产品和服务,且违规资源不可解封;
    6. 若在使用过程中遇到任何问题,您可以进入在线客服或拨打 4009100100/95716 进行反馈,我们将竭诚为您服务!
    此致 
    腾讯云团队
    

    所以大致能猜测到是用户访问 A 姐在 www.ahhhhfs.com 中推荐的组件世界文章有用户通过看文章引导到了组件世界,然后带了 utm_source=www.ahhhhfs.comquery 参数,好巧不巧,腾讯云就把这次请求判定为违规了???????

    然后接下来的骚操作为,直接删除储存桶里面的这个 index.html 入口文件,这是什么操作???

    然后用户再访问站点就是拿到的一开始的违规的提示,整站不可达 整站直接不可访问 要不是用户反馈 我真的不知道什么时候会发现这个问题。

    我是一个小站点,所以没啥大的影响,那么大一点的公司呢,如果一个 query 参数就可以轻轻松松让一个站点的 cos 资源被这样封禁掉,这得存在多大的安全隐患啊。

    到这里我本来没有那么大的情绪,然后接下来我通过官方售后客服联系反馈了这个问题,

    您好,腾讯云很高兴为您服务,您已接入人工,工程师将尽快为您核实问题处理。
    
    您好,我是服务您的工程师,您的问题我正在查看中,请您稍等一下,有结果我这边马上同步给您,谢谢。
    
    我:如此傻瓜式的连 query 都纳入违规识别范畴
    
    非常抱歉给您带来不便,关于您反馈的问题我们已收到。经初步排查,需为您转接相关负责人进一步跟进处理,(我马上转接)请稍等。
    
    我:麻烦快点处理 这个压根就不是我们的问题
    
    您好,关于您的问题,这边需要进一步为您确认,可能时间比较长,预计需要 1-3 小时左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
    感谢您的理解与支持。
    
    已收到您的投诉,我们会尽快答复您。
    
    非常理解您着急的心情,您的问题正在为您加急核实中,有进展第一时间与您同步,还请您稍等
    
    ————————三个小时后————————
    
    我:你们就是这样处理问题的吗
    
    您好, 十分不好意思,给您带来不便了,这边已为您申请解封了,目前这个是需要您进行申诉的,违规资源:
    http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 目前需要您在网址中心进行申诉,根据网址中心回复进行整改,感谢您的支持与理解。
    申诉网址:
    https://urlsec.qq.com/complain.html
    
    我:什么叫做整改?
    
    我:外行都知道这个和我们没关系
    
    非常理解您的心情,您的资源已经为您申请解除封禁了,辛苦您核实下,如您方便的话,辛苦您进行申诉,违规原因辛苦您通过以上信息在网址中心进行申诉,因为这个是根据网址安全中心的申诉结果来决定的,辛苦您。
    
    我:后面如果再出现你们又该怎么办呢
    
    您好,关于您的问题,这边需要进一步为您确认,目前正在为您核实中,可能时间比较长,预计下次同步时间 24 点左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
    感谢您的理解与支持。
    

    一顿和客服拉扯之后气就上来了

    没办法,就只能换桶部署一下前端资源了

    这样的操作,真的真的真的。。。。。

    是不是访问 wwww.qq.com?url=特殊站点 然后 qq 的 index.html 也给来个封禁?

    最后,还是感谢一下 A 姐 在去年对 组件世界 的推荐分享 NotionPet:丰富的 Notion 组件库 这次分享为组件世界带来了非常多的用户和流量,十分感谢 🙏

    16 条回复    2023-12-07 17:32:30 +08:00
    whileFalse
        1
    whileFalse  
       2023-12-06 23:11:41 +08:00 via Android   ❤️ 1
    为什么那么多人喜欢拿对象存储域名直接当网站用?好歹加个 cdn 吧
    islaohu
        2
    islaohu  
    OP
       2023-12-06 23:12:40 +08:00
    @whileFalse 其实是加了 CDN 的
    owen800q
        3
    owen800q  
       2023-12-06 23:28:28 +08:00 via iPhone
    Aws S3 不好用嗎,何必自討苦吃
    islaohu
        4
    islaohu  
    OP
       2023-12-06 23:36:39 +08:00
    @owen800q 国内可以访问吗
    owen800q
        5
    owen800q  
       2023-12-06 23:38:52 +08:00 via iPhone
    @islaohu 跑了三年多了,没收到用户说不能访问
    islaohu
        6
    islaohu  
    OP
       2023-12-06 23:41:49 +08:00
    @owen800q ok 感谢
    Mystery0
        7
    Mystery0  
       2023-12-07 00:17:38 +08:00 via Android
    @islaohu 配置一个回源去掉 query 参数?
    xiangyuecn
        8
    xiangyuecn  
       2023-12-07 02:04:14 +08:00
    看起来可以发起对任意存储桶的攻击,触发自动删除文件 封掉对方的密钥😅 利用价值很可观🐶
    hyperbin
        9
    hyperbin  
       2023-12-07 08:31:04 +08:00 via Android
    因为腾讯的技术实力也就这样了
    toomi
        10
    toomi  
       2023-12-07 08:52:03 +08:00 via Android
    腾讯云无提前通知封我服务器,历历在目,以后不会考虑用腾讯云
    yph007595
        11
    yph007595  
       2023-12-07 09:20:39 +08:00
    我因为一个文件名违规,把我整个桶给封了。然后我把那个被封的桶删除了,新建了一个桶,把原来的文件重命名,继续放在里面,目前稳定。
    killva4624
        12
    killva4624  
       2023-12-07 10:01:53 +08:00   ❤️ 1
    存储桶攻击听起来很刑啊,确认对方是桶后海量敏感词 param 招呼...
    Sum0l
        13
    Sum0l  
       2023-12-07 11:08:17 +08:00
    这个机制看起来有点危险啊
    buffzty
        14
    buffzty  
       2023-12-07 13:32:44 +08:00
    微信以前有个封人方法 你把对方备注成违禁词 对方会被 tx 的上级封掉 tx 都解封不了 你这个跟他如出一辙
    SilentOrFight
        15
    SilentOrFight  
       2023-12-07 14:00:26 +08:00
    腾讯云就是草台班子中的草台班子
    id80108900
        16
    id80108900  
       2023-12-07 17:32:30 +08:00
    吃了太多亏了;
    所以坚决不用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1009 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:09 · PVG 05:09 · LAX 13:09 · JFK 16:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.