首先表现为,访问组件世界时候直接返回这样的类似于 404
的错误页面(不能传图,直接写内容了)
第 451 章 因法律原因无法联系
代码:因法律原因不可用
消息:由于内容非法,指定的密钥不可用。
关键:index.html
请求 ID:NjU3MDQwOWZfZWQ3MGYyMDlfMzhlOF9iOTNlNGZh
TraceId:OGVmYzZiMmQzYjA2OWNhODk0NTRkMTBiOWVmMDAxODc0OWRkZjk0ZDM1NmI1M2E2MTRlY2MzZDhmNmI5MWI1OTQ5YWUxMjNkYTk3NzdjZmZlMDQzOTgxOThkOTNlOWFkMmM3MjgzMj ZlOWZkNDc1NzMwNTljY2I5M2RmYWFmMjc=
随即我就去查了一下腾讯云私信,发现了一个通知
[腾讯云] 您使用的腾讯云服务存在违规信息,已被限制访问
尊敬的腾讯云用户,您好!
您的腾讯云账号(账号 ID: **********, 昵称: *******@qq.com )下的 COS 服务存在违规信息,http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 已被限制访问,您可以前往对象存储控制台违规列表页面查看具体信息。感谢您的理解和支持!
违规类型:内容违规
违规资源: http://widgetstore-*******.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com
温馨提示:
1. 违规信息类型说明;
2. 您可参考对象存储安全管理实践加强自身业务数据的安全管理;
3. 请您在处理前备份您的重要数据;
4. 本通知以站内信、邮件、短信等方式触达,如需修改接收方式可登录控制台->账号信息->消息订阅中选择内容安全产品进行修改;
5. 鉴于您名下账号的违规性质及违规频次,腾讯云可能根据 《中华人民共和国网络安全法》、《电信业务经营许可管理办法》及《腾讯云服务协议》等相关规定,有权限制、暂停、终止向您提供部分或全部产品和服务,且违规资源不可解封;
6. 若在使用过程中遇到任何问题,您可以进入在线客服或拨打 4009100100/95716 进行反馈,我们将竭诚为您服务!
此致
腾讯云团队
所以大致能猜测到是用户访问 A 姐在 www.ahhhhfs.com
中推荐的组件世界文章有用户通过看文章引导到了组件世界,然后带了 utm_source=www.ahhhhfs.com
的 query
参数,好巧不巧,腾讯云就把这次请求判定为违规了???????
然后接下来的骚操作为,直接删除储存桶里面的这个 index.html
入口文件,这是什么操作???
然后用户再访问站点就是拿到的一开始的违规的提示,整站不可达 整站直接不可访问 要不是用户反馈 我真的不知道什么时候会发现这个问题。
我是一个小站点,所以没啥大的影响,那么大一点的公司呢,如果一个 query
参数就可以轻轻松松让一个站点的 cos
资源被这样封禁掉,这得存在多大的安全隐患啊。
到这里我本来没有那么大的情绪,然后接下来我通过官方售后客服联系反馈了这个问题,
您好,腾讯云很高兴为您服务,您已接入人工,工程师将尽快为您核实问题处理。
您好,我是服务您的工程师,您的问题我正在查看中,请您稍等一下,有结果我这边马上同步给您,谢谢。
我:如此傻瓜式的连 query 都纳入违规识别范畴
非常抱歉给您带来不便,关于您反馈的问题我们已收到。经初步排查,需为您转接相关负责人进一步跟进处理,(我马上转接)请稍等。
我:麻烦快点处理 这个压根就不是我们的问题
您好,关于您的问题,这边需要进一步为您确认,可能时间比较长,预计需要 1-3 小时左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
感谢您的理解与支持。
已收到您的投诉,我们会尽快答复您。
非常理解您着急的心情,您的问题正在为您加急核实中,有进展第一时间与您同步,还请您稍等
————————三个小时后————————
我:你们就是这样处理问题的吗
您好, 十分不好意思,给您带来不便了,这边已为您申请解封了,目前这个是需要您进行申诉的,违规资源:
http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 目前需要您在网址中心进行申诉,根据网址中心回复进行整改,感谢您的支持与理解。
申诉网址:
https://urlsec.qq.com/complain.html
我:什么叫做整改?
我:外行都知道这个和我们没关系
非常理解您的心情,您的资源已经为您申请解除封禁了,辛苦您核实下,如您方便的话,辛苦您进行申诉,违规原因辛苦您通过以上信息在网址中心进行申诉,因为这个是根据网址安全中心的申诉结果来决定的,辛苦您。
我:后面如果再出现你们又该怎么办呢
您好,关于您的问题,这边需要进一步为您确认,目前正在为您核实中,可能时间比较长,预计下次同步时间 24 点左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
感谢您的理解与支持。
一顿和客服拉扯之后气就上来了
没办法,就只能换桶部署一下前端资源了
这样的操作,真的真的真的。。。。。
是不是访问 wwww.qq.com?url=特殊站点
然后 qq 的 index.html 也给来个封禁?
最后,还是感谢一下 A 姐 在去年对 组件世界 的推荐分享 NotionPet:丰富的 Notion 组件库 这次分享为组件世界带来了非常多的用户和流量,十分感谢 🙏
1
whileFalse 352 天前 via Android 1
为什么那么多人喜欢拿对象存储域名直接当网站用?好歹加个 cdn 吧
|
2
islaohu OP @whileFalse 其实是加了 CDN 的
|
3
owen800q 352 天前 via iPhone
Aws S3 不好用嗎,何必自討苦吃
|
8
xiangyuecn 352 天前
看起来可以发起对任意存储桶的攻击,触发自动删除文件 封掉对方的密钥😅 利用价值很可观🐶
|
9
hyperbin 352 天前 via Android
因为腾讯的技术实力也就这样了
|
10
toomi 352 天前 via Android
腾讯云无提前通知封我服务器,历历在目,以后不会考虑用腾讯云
|
11
yph007595 352 天前
我因为一个文件名违规,把我整个桶给封了。然后我把那个被封的桶删除了,新建了一个桶,把原来的文件重命名,继续放在里面,目前稳定。
|
12
killva4624 352 天前 1
存储桶攻击听起来很刑啊,确认对方是桶后海量敏感词 param 招呼...
|
13
Sum0l 352 天前
这个机制看起来有点危险啊
|
14
buffzty 352 天前
微信以前有个封人方法 你把对方备注成违禁词 对方会被 tx 的上级封掉 tx 都解封不了 你这个跟他如出一辙
|
15
SilentOrFight 352 天前
腾讯云就是草台班子中的草台班子
|
16
id80108900 352 天前
吃了太多亏了;
所以坚决不用。 |