• «
  • 1
  • 2
  • 3
  • »
  • Pages: 1/3     Go
| 浏览器收藏 | 打印

648960.jpg

Background

GF  2022-07-04 08:32
只看GF |
屏蔽
屏蔽此人 屏蔽头像
|

上海数据库泄露的原因找到了

https://archive.ph/mP3bh

以上为原网页备份

其中生产者工具类这一栏的第124行注释,有这么一段代码

/*public static void main(String[] args) {
        // Endpoint以Region: 华东1为例,其他Region请按实际情况填写
        String endpoint = "https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh";
        String accessId = 想了想直接放出来不太好,想看的去原网页里找吧
        String accessKey = 想了想直接放出来不太好,想看的去原网页里找吧
        String projectName = "sjc_rwzx";
        String topicName = "task_center_platform_request";
        RecordSchema schema = new RecordSchema();

这个结局可以说是笑掉大牙了

编辑一下

        String endpoint = "https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh";
        String accessId = 想了想直接放出来不太好,想看的去原网页里找吧
        String accessKey = 想了想直接放出来不太好,想看的去原网页里找吧

这三个合在一起基本上可以理解成上海数据库的地址,门牌号以及钥匙
顶端

none.gif

据说

B1F  2022-07-04 08:34
(咕嘿嘿……)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
什么意思,坐等解释
顶端

a10.gif

Sam

B2F  2022-07-04 08:37
(Hi)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
是把key写在注释里面了吧,多少有点离谱了
顶端

none.gif

STW08

B3F  2022-07-04 08:38
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
同,坐等解释
顶端

1334012.jpg

Adios

B4F  2022-07-04 08:38
(三十六陂春水,白头想见江南。)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
把钥匙插门上了
顶端

none.gif

62ff994b

B5F  2022-07-04 08:39
(本来就是烂完了的网络环境,我攻击你怎么了)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
我以为你要发一张孙笑川的图片
顶端

9_1385969_0bb840a5e21925e.jpeg

intheendIthastobethisway

B6F  2022-07-04 08:40
(你敬我一尺,我敬你一丈,大家交个评友)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
自带账号密码
顶端

none.gif

橘猫

B7F  2022-07-04 08:41
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
什么意思?账号密码写在个人签名?
顶端

648960.jpg

Background

B8F  2022-07-04 08:45
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 4楼(Frezy) 的帖子

这已经不是钥匙插门上了,这属于是街边小广告上印着印钞厂后门门锁了

而且这个印钞厂没有安保也没有安检,属于是只要找到钥匙是个人就能进
顶端

none.gif

Arwent

B9F  2022-07-04 08:49
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
跟好多年前很多人把qq密码写在个人说明里一样
顶端

71527.jpg

耳朵疼9958

B10F  2022-07-04 08:51
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
accessKey

华东都没了 估计还有其他地区的
顶端

none.gif

香肠鲍鱼王

B11F  2022-07-04 08:51
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
这是不是层层外包导致的必然后果?还是钱没给够打工人故意整的一出?
顶端

none.gif

香肠鲍鱼王

B12F  2022-07-04 08:52
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 10楼(蛋疼998) 的帖子

兄弟你头像左边的真的不是她年轻时候的样子
顶端

a3.gif

丹羽

B13F  2022-07-04 08:54
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
这个是数据接口,但这键和密钥是怎么泄露的啊,没有限制访问ip吗?
顶端

none.gif

BeABetterMan

B14F  2022-07-04 09:14
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
所以这是外包的锅咯
顶端

711481.png

oo

B15F  2022-07-04 09:30
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
注释代码没删掉就上传,真刑啊
上边没注释的密钥代码都知道涂改掉
下边注释的废代码没看就上传了吧
  
顶端

71527.jpg

耳朵疼9958

B16F  2022-07-04 09:37
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 12楼(香肠鲍鱼王) 的帖子

不是啦 是日本人
顶端

a10.gif

布尔希德

B17F  2022-07-04 09:40
(errrrrrrrrrrrrrrrrrrrrr......)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
java代码为什么暴露在前端?

进页面一看真是个白痴,这种代码也敢拿出来网上分享
顶端

1016895.jpg

何尘埃

B18F  2022-07-04 09:46
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
钥匙挂房门上,你不破谁破。
顶端

none.gif

我的错咯

B19F  2022-07-04 10:18
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
对真实性表示怀疑。首先obs对象存储的密钥就算main函数测试。这种级别的项目一般也是会有白名单的。另外js上为什么要注释java的main函数代码? 另外再就是obs的对象是可以设置加密格式的。难道这种级别的项目连加密格式都没做?而你贴的这上面并没有加密格式及加密秘钥。只有obs的基础链接及桶名
顶端

889485.png

我叫拉法姆

B20F  2022-07-04 10:22
(拉法姆才是____)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
这个域名是内网域名,光有密钥根本访问不了

把问题归咎于key泄露=把临时工当做主犯
顶端

1415007.jpg

发霉的萝卜干

B21F  2022-07-04 10:22
(发霉的萝北)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
炖个后续
顶端

a5.gif

e78b8388

B22F  2022-07-04 10:23
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
引用
引用第1楼d8fea26d于2022-07-04 08:34发表的  :
什么意思,坐等解释

等于把用户名密码直接贴网站上
笑死了

现在的API设计认证都靠AccessToken。这玩意除了不能帮你改密码和生成新Token其他等于你本人操作。
大部分是程序在用,用户交互可以用的我只知道一个GitHub。

引用
引用第20楼f5540eef于2022-07-04 10:22发表的  :
这个域名是内网域名,光有密钥根本访问不了

把问题归咎于key泄露=把临时工当做主犯

复制代码
  1. nslookup datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh 8.8.8.8
  2. Server:        8.8.8.8
  3. Address:    8.8.8.8#53
  5. Non-authoritative answer:
  6. Name:    datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh
  7. Address: 3.129.187.93

脸疼不疼?
内网域名,啊?

连域名解析都不会就别来洗地了。
顶端

none.gif

老司机带带我

B23F  2022-07-04 10:23
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
如果是真的话,对我们普通人来说又是一波诈骗高峰期了
顶端

none.gif

ptw

B24F  2022-07-04 10:24
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
又有程序员要祭天了
顶端

548468.png

蕾咪的威严

B25F  2022-07-04 10:25
(Veni, Vedi, Vici)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
啊这
顶端

889485.png

我叫拉法姆

B26F  2022-07-04 10:32
(拉法姆才是____)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 22楼(e78b8388) 的帖子

  

引用
Domain Name: ga.sh
Registry Domain ID: fece70562a014970b6f91700e67cff33-DONUTS
Registrar WHOIS Server:
Registrar URL:
Updated Date: 1998-07-12T22:04:56Z
Creation Date: 1998-07-12T22:04:56Z
Registry Expiry Date: 2027-04-30T12:00:00Z
Registrar: Divido Ltd


连WHOIS信息都不会查就别来洗地了

你自己都不打开看看内容是什么吗?

这个域名 1998 年于英国注册,

上海公安内网域名刚好冲突了

洗你麻痹的地

我的意思是,不要把这件事下降到个人行为,那就中了套路了

缺乏监管、缺乏安全措施、滥用收集数据才是大头
顶端

none.gif

2524025

B27F  2022-07-04 10:32
(你们是靠键政大陆来自慰吗?性癖好怪喔…)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|
  
顶端

none.gif

gundamboy

B28F  2022-07-04 10:34
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 20楼(我叫拉法姆) 的帖子

正常的内网域名不应该是内网IP么。内网自带DNS?
另外虽然访问肯定不是只有密钥一层限制,数据库至少有个白名单准入之类的吧,不过不代表密钥如果泄露不是一个重大安全问题啊。本来多重安全机制,被你搞的只要能黑到有代码的电脑上就随便玩了……
顶端

889485.png

我叫拉法姆

B29F  2022-07-04 10:36
(拉法姆才是____)
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 28楼(gundamboy) 的帖子

内网为了好记,大多数企业都会用自建dns+主机名代替

恰巧这次事件里,用的主机名和公网的域名重合了
顶端

none.gif

gundamboy

B30F  2022-07-04 10:39
只看该作者 |
屏蔽
屏蔽此人 屏蔽头像
|

回 29楼(我叫拉法姆) 的帖子

可能是因为自己搞这块的,总觉得IP比域名好记多了……
再说,一般内网门户做超链接+收藏夹。不会真有人每次访问都敲URL把。
顶端
  • «
  • 1
  • 2
  • 3
  • »
  • Pages: 1/3     Go