V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
documentzhangx66
V2EX  ›  分享发现

重大安全事故,有道云笔记的共享功能,会泄露原作者写笔记时的所使用的 IP 地址。

  •  
  •   documentzhangx66 · 2023-07-25 13:51:40 +08:00 · 1460 次点击
    这是一个创建于 494 天前的主题,其中的信息可能已经有所发展或是发生改变。

    写了复现方法,想了一下这违法,我也不希望这个漏洞被利用,就删掉了。大佬其实可以自己复现,原理很简单。

    有道云笔记,连这个小功能都会泄露信息,说不定其他地方漏洞百出。

    建议,尽快买 NAS ,自建笔记软件,手机采用 VPN 入网,做好地区 IP 访问白名单,有条件的公司或个人可以再买一台深信服下一代防火墙,然后使用开源软件比如 Joplin 、Obsidian ,结合 GIT 与冷备软件,来搭建自己或公司的私有笔记系统。

    3 条回复    2023-07-27 12:28:57 +08:00
    israinbow
        1
    israinbow  
       2023-07-25 19:02:31 +08:00 via Android
    又是 webrtc 的功能?
    documentzhangx66
        2
    documentzhangx66  
    OP
       2023-07-25 21:20:02 +08:00
    @israinbow

    程序员偷懒了,为了方便调试或开发,把本来不应该发出来的字段信息,也一起发出来了。

    这个事情前几天在一家小公司见到过,后端过度包装了实体对象给前端,没想到今天发现有道云笔记也有这个问题。
    GHvyuR7N
        3
    GHvyuR7N  
       2023-07-27 12:28:57 +08:00 via iPhone
    有推荐的私有笔记系统吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2608 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:25 · PVG 23:25 · LAX 07:25 · JFK 10:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.