这是一个创建于 677 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先表现为,访问组件世界时候直接返回这样的类似于 404 的错误页面(不能传图,直接写内容了)
第 451 章 因法律原因无法联系 代码:因法律原因不可用 消息:由于内容非法,指定的密钥不可用。 关键:index.html 请求 ID:NjU3MDQwOWZfZWQ3MGYyMDlfMzhlOF9iOTNlNGZh TraceId:OGVmYzZiMmQzYjA2OWNhODk0NTRkMTBiOWVmMDAxODc0OWRkZjk0ZDM1NmI1M2E2MTRlY2MzZDhmNmI5MWI1OTQ5YWUxMjNkYTk3NzdjZmZlMDQzOTgxOThkOTNlOWFkMmM3MjgzMj ZlOWZkNDc1NzMwNTljY2I5M2RmYWFmMjc= 随即我就去查了一下腾讯云私信,发现了一个通知
[腾讯云] 您使用的腾讯云服务存在违规信息,已被限制访问 尊敬的腾讯云用户,您好! 您的腾讯云账号(账号 ID: **********, 昵称: *******@qq.com )下的 COS 服务存在违规信息,http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 已被限制访问,您可以前往对象存储控制台违规列表页面查看具体信息。感谢您的理解和支持! 违规类型:内容违规 违规资源: http://widgetstore-*******.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 温馨提示: 1. 违规信息类型说明; 2. 您可参考对象存储安全管理实践加强自身业务数据的安全管理; 3. 请您在处理前备份您的重要数据; 4. 本通知以站内信、邮件、短信等方式触达,如需修改接收方式可登录控制台->账号信息->消息订阅中选择内容安全产品进行修改; 5. 鉴于您名下账号的违规性质及违规频次,腾讯云可能根据 《中华人民共和国网络安全法》、《电信业务经营许可管理办法》及《腾讯云服务协议》等相关规定,有权限制、暂停、终止向您提供部分或全部产品和服务,且违规资源不可解封; 6. 若在使用过程中遇到任何问题,您可以进入在线客服或拨打 4009100100/95716 进行反馈,我们将竭诚为您服务! 此致 腾讯云团队 所以大致能猜测到是用户访问 A 姐在 www.ahhhhfs.com 中推荐的组件世界文章有用户通过看文章引导到了组件世界,然后带了 utm_source=www.ahhhhfs.com 的 query 参数,好巧不巧,腾讯云就把这次请求判定为违规了???????
然后接下来的骚操作为,直接删除储存桶里面的这个 index.html 入口文件,这是什么操作???
然后用户再访问站点就是拿到的一开始的违规的提示,整站不可达 整站直接不可访问 要不是用户反馈 我真的不知道什么时候会发现这个问题。
我是一个小站点,所以没啥大的影响,那么大一点的公司呢,如果一个 query 参数就可以轻轻松松让一个站点的 cos 资源被这样封禁掉,这得存在多大的安全隐患啊。
到这里我本来没有那么大的情绪,然后接下来我通过官方售后客服联系反馈了这个问题,
您好,腾讯云很高兴为您服务,您已接入人工,工程师将尽快为您核实问题处理。 您好,我是服务您的工程师,您的问题我正在查看中,请您稍等一下,有结果我这边马上同步给您,谢谢。 我:如此傻瓜式的连 query 都纳入违规识别范畴 非常抱歉给您带来不便,关于您反馈的问题我们已收到。经初步排查,需为您转接相关负责人进一步跟进处理,(我马上转接)请稍等。 我:麻烦快点处理 这个压根就不是我们的问题 您好,关于您的问题,这边需要进一步为您确认,可能时间比较长,预计需要 1-3 小时左右,期间有进展第一时间与您同步,辛苦您耐心等待下; 感谢您的理解与支持。 已收到您的投诉,我们会尽快答复您。 非常理解您着急的心情,您的问题正在为您加急核实中,有进展第一时间与您同步,还请您稍等 三个小时后 我:你们就是这样处理问题的吗 您好, 十分不好意思,给您带来不便了,这边已为您申请解封了,目前这个是需要您进行申诉的,违规资源: http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 目前需要您在网址中心进行申诉,根据网址中心回复进行整改,感谢您的支持与理解。 申诉网址: https://urlsec.qq.com/complain.html 我:什么叫做整改? 我:外行都知道这个和我们没关系 非常理解您的心情,您的资源已经为您申请解除封禁了,辛苦您核实下,如您方便的话,辛苦您进行申诉,违规原因辛苦您通过以上信息在网址中心进行申诉,因为这个是根据网址安全中心的申诉结果来决定的,辛苦您。 我:后面如果再出现你们又该怎么办呢 您好,关于您的问题,这边需要进一步为您确认,目前正在为您核实中,可能时间比较长,预计下次同步时间 24 点左右,期间有进展第一时间与您同步,辛苦您耐心等待下; 感谢您的理解与支持。 一顿和客服拉扯之后气就上来了
没办法,就只能换桶部署一下前端资源了
这样的操作,真的真的真的。。。。。
是不是访问 wwww.qq.com?url=特殊站点 然后 qq 的 index.html 也给来个封禁?
最后,还是感谢一下 A 姐 在去年对 组件世界 的推荐分享 NotionPet:丰富的 Notion 组件库 这次分享为组件世界带来了非常多的用户和流量,十分感谢
 | 1 whileFalse 2023-12-06 23:11:41 +08:00 via Android  1 为什么那么多人喜欢拿对象存储域名直接当网站用?好歹加个 cdn 吧 |
 | 2 islaohu OP @whileFalse 其实是加了 CDN 的 |
 | 3 owen800q 2023-12-06 23:28:28 +08:00 via iPhone Aws S3 不好用,何必自苦吃 |
 | 8 xiangyuecn 2023-12-07 02:04:14 +08:00 看起来可以发起对任意存储桶的攻击,触发自动删除文件 封掉对方的密钥 利用价值很可观 |
 | 9 hyperbin 2023-12-07 08:31:04 +08:00 via Android 因为腾讯的技术实力也就这样了 |
 | 10 toomi 2023-12-07 08:52:03 +08:00 via Android 腾讯云无提前通知封我服务器,历历在目,以后不会考虑用腾讯云 |
 | 11 yph007595 2023-12-07 09:20:39 +08:00 我因为一个文件名违规,把我整个桶给封了。然后我把那个被封的桶删除了,新建了一个桶,把原来的文件重命名,继续放在里面,目前稳定。 |
12
killva4624 2023-12-07 10:01:53 +08:00 1 存储桶攻击听起来很刑啊,确认对方是桶后海量敏感词 param 招呼...
 | 13 Sum0l 2023-12-07 11:08:17 +08:00 这个机制看起来有点危险啊 |
 | 14 buffzty 2023-12-07 13:32:44 +08:00 微信以前有个封人方法 你把对方备注成违禁词 对方会被 tx 的上级封掉 tx 都解封不了 你这个跟他如出一辙 |
 | 15 SilentOrFight 2023-12-07 14:00:26 +08:00 腾讯云就是草台班子中的草台班子 |
 | 16 id80108900 2023-12-07 17:32:30 +08:00 吃了太多亏了; 所以坚决不用。 |
Select Language