小天管理 发表于 2024年7月11日 发表于 2024年7月11日 最近想着把自己网盘的文件直链分享给家人下载,就把 Alist 用 CloudFlareTunnel 搞了下内网穿透,然后发现不对劲,把直链 https://yuming.com/d/115/1.txt 后面的 1.txt 改成 2.txt 就可以直接下载网盘内存在的 2.txt ,同理可以遍历尝试下载其他文件。搜了下发现添加存储库时"签名"选项没有默认启用,以至于有这种被扫绕过直接下载的风险,对我这种添加存储是网盘根目录,设置都是默认的小白有一定的风险,建议类似的朋友自查下存储库是否开启签名,或者直接全局选项签名所有官方文档https://alist.nn.ci/zh/config/global.html#%E7%AD%BE%E5%90%8D%E6%89%80%E6%9C%89[img][/img]issueshttps://github.com/alist-org/alist/issues/5561
已推荐帖子