流水

【产品缺陷】控制台里安全组漏洞,请重视

[问题描述]:

我在另外一个账号上新购了一台阿里云的ecs,centos7.4,因为要安装宝塔的面板工具(本人技术水平有限,想简单快速安装nginx-tengine,我也不会手动改各种配置和配置ssl这样的操作)。

所以我就需要放行端口,所以我就要修改安全组规则。默认要把8888打开,8888/8888,授权0.0.0.0/0。这个我经常搞,可以熟练操作。

但是在我新建规则的时候遇到了验证码(这个保护虽然让我很不方便,但是很安全),我另外的那个手机号实在是不方便接收。

于是,我想到了一个办法,把我这个账户上的安全组规则进行导出,然后去另外一个号上去导入。真的是没想到,竟然成了。导出的是json格式的。

我格式化了一下,请查看附件的图片吧,用的arial字体,你们可以orc识别一下,就是正常的配置。(粘贴在这里影响篇幅,ps简单做了一张图)

这个我认为存在隐患吧,但是说不清楚。但是用户的这个操作,应该要想到的。

对了,我的环境是

Chrome 67.0.3396.99 (正式版本) (32 位)

Windows 10 专业版 版本1803 (OS 内部版本 17134.228)

是在Chrome下导出的,在Chrome隐身模式下登陆的另外一个账号进行导入的。

[建议方案]:

建议重视,我和公司一直都是用的阿里云服务器,曾在工单中回复“买的不是服务器,是服务”!希望越做越好!
##############第一次修改##############
#######更换了附件,忘了给自己端口打码了######

###########提交2018-08-22-05-17###########

json.png

发表评论

电子邮件地址不会被公开。 必填项已用*标注

答案 : *
18 + 25 =


返回顶部