腾讯文档,任何人可直接访问文档中的图片(即使你的文档是私有的)
验证步骤
1:直接新建一个在线文档,在里面插入一张图片。
2:在图片上面点击鼠标右键,选择复制图片地址。
3.新建一个浏览器的隐身窗口,或者打开一个其他的浏览器,访问一下腾讯文档地址,显示未登录,然后直接粘贴复制的图片地址,发现可以直接被打开,而我还没有登录。说明图片没有做任何的访问权限控制。
结论,所有文档的图片地址,仅仅是一个32位长度的16进制整数,可以利用暴力尝试方法,将所有用户文档中的图片下载下来,如果图片中包含敏感信息,信息将直接遭到泄露。
所有在选择云服务的时候还是要慎重,铭感信息自己还是那个小本记下来,或下线保存,不要放在互联网上面,连腾讯这种大厂都不安全。
腾讯文档存巨大安全漏洞,任何人可直接访问文档中的图片