时间爱人个人页面-阿里云开发者社区

个人头像照片 时间爱人 TA的个人档案
0
2

个人介绍

暂无个人介绍

擅长的技术

  • Linux
获得更多能力
通用技术能力:

暂时未有相关通用技术能力~

云产品技术能力:

暂时未有相关云产品技术能力~

阿里云技能认证

详细说明
  • 高分内容
  • 最新动态
  • 文章
  • 问答
  • 提交了问题 2018-08-23

    控制台安全组存在疏漏,请重视

正在加载, 请稍后...
暂无更多信息
正在加载, 请稍后...
暂无更多信息
正在加载, 请稍后...
暂无更多信息
  • 回答了问题 2018-08-24

    控制台安全组存在疏漏,请重视

    回 1楼服务器云的帖子
    没有,从没验证过。我意思就是,如果设置验证码是为了保护安全组的配置不被修改,那么安全组的导入规则也是非覆盖式导入,也就是说,直接添加呗。那这个验证码的功能就形同虚设了。不能拦截敏感操作。

    -------------------------

    回 1楼服务器云的帖子
    你可以测试一下,比方说A和B两个账号,需要给B添加规则,A号正常登陆,B号用浏览器隐身模式或者换个浏览器,我是用的隐身模式。然后你在B号上点添加规则,他就会提示你需要发送验证码,收到以后输入正确才能继续操作。这时候点关闭(就是结束此次添加规则的操作),去A号上把A号上的安全组规则导出出来,然后切换到B号,直接点导入,就成了。既然可以导入成功,那么懂点json的都能自己写规则了,或者复制下来,修改就行了,看懂参数太简单了。所以,绕过验证格外简单。是个缺陷。不知道设计的时候是怎么考虑的,也许别有用意吧。
    踩0 评论0
  • 提交了问题 2018-08-23

    控制台安全组存在疏漏,请重视

正在加载, 请稍后...
滑动查看更多