云服务在2007年对用户输入没有过滤，且现在前端代码仍未过滤，导致2007年左右的文章可能存在敏感代码，导致泄露用户隐私。_建议反馈

全部建议建议详情

问题描述：在阅读2007年某篇文章时发现xss储存型漏洞(不止是可以弹窗!!!)网址如下:https://www.huaweicloud.com/articles/bb073e1436e3ca96f75bfc86e972b88f.html

储存型xss的风险在于，hack可能利用2007发表的文章窃取用户cookie，或控制用户电子设备，例如利用beef，进行钓鱼、拍照等一系列操作。致使用户下载后门程序，泄露其他隐私。

甚至有可能将成为入侵华为云的重大漏洞。

(现有输入已经过滤，别试了，我试过了)

建议方案：检索自用户输入过滤实施前的所有文章，或将用户过滤实施前的文章退回，或者限制访问。

沈凌发布于 2021-01-29 16:10:50 2021-01-29

305 5

赞同

100%

1人赞同

不赞同

0人不赞同

【云声小管家】思雨 2021-02-26 17:16:40

非常抱歉给您带来这么多不便，关于您提交的建议产品和研发团队进行了评估，反馈内容中的链接，未能正常打开：https://www.huaweicloud.com/articles/bb073e1436e3ca96f75bfc86e972b88f.html，为了能更准确的定位反馈内容，请再次提供一下对应正确的链接地址，方便时尽量附带截图，以便我们尽快核实并推动解决，感谢您对华为云的支持！

删除
【云声小管家】思雨 2021-02-01 16:16:03

非常感谢您的反馈，您的建议我们已经收到，并已提交至相关产品团队进行核查评估，评估完成后对于建议是否采纳会尽快给您答复，也请您持续关注云声平台，了解反馈建议处理进展，感谢您对华为云的支持！

删除
阿连大汪 2021-01-29 17:19:38

有的，给你一包狗粮（啊！美味~）

删除
沈凌 2021-01-29 16:18:36

其实说白了就是...服务器可能存了别人的敏感代码存了14年，虽然问题不是很大(14年还不攻击)，但是依然是有安全风险的。

删除
沈凌 2021-01-29 16:12:09

话说，有奖金吗

删除

登录后可评论，请登录或注册

0/1000

+ 插入图片0/4

仅支持JPG、JPEG、PNG、GIF，数量不超过4张且每张大小不超过2MB

发表评论...

取消发表