离谱！黄色图片竟疑似来自某东？！事关每个厂商声誉！

云存储服务部门对于违规资源严防死守，是不是没有想过散落在公司各个业务部门角落的图床功能会背刺？

这些功能既没有内容审核，也没有权限管理，更没有生存周期管理，都只是简简单单实现了一个储存图片的功能。

但他们和云存储服务一样有大厂背书，服务稳定，不少还有CDN全球加速，最重要的是它免费！因此吸引了不少搞黑产的同志们。

让我们看一个错误示范（该漏洞上报后已被修复）：

我们将负责图片上传和显示的整个流程实现称作图床模块。假设张三新买的衣服上有个洞，于是他打算向客服发个照片说明问题。张三点击了上传，于是这张图片被传到了客服公司的图床中。为了在张三的浏览器中也能看见这张照片，图床模块把图片的远端地址传给了张三的浏览器，于是浏览器就可以把图片显示在张三的页面中了。

在这个案例中，这个客服框是一个面向游客的功能，因此不需要任何登录措施。这个会将图片地址传回的图床模块就这样被黑产老哥们拿着进行了一个脱离平台的乱用。

白泽同学开发了一个名为Viola的工具来自动化寻找这些可以被滥用的图床模块，共扫描到338个业务功能的图片可以留存图片3天以上，并发现在79.63%的业务功能中图片在7天后还有效。

在这个过程中我们发现的可以独立传图片的业务场景有：

利用页面代码在视觉上隐藏但其实能触发的废弃评论功能

（下次不要就直接删掉啊）

产品demo中仅做演示但真能用的客服机器人

（给我们打开思路后来在各种demo中找到了很多可被滥用的图床模块）

公司用来收集漏洞的页面里的漏洞证明截图功能

（然后我们向这个页面报了这个页面本人的漏洞）

承接了很多知名公司业务的客服功能提供商

（报漏洞的时候不仅报给乙方还贴心地抄送了甲方）

……

当然啦，以上只是一些奇妙案例，更多的还是各种随处可见真正在使用的功能，我们把扫描到的可被滥用的图床模块的来源功能做了统计，如下图所示：

复杂点的，竟然搭配了一整套管理系统，助你选择想用的厂商，记录图片的存储地址，甚至可以搭建网站给他人使用。

使用形式也很齐全，允许你搭配到CMS、浏览器插件，甚至小程序中。

这些工具的使用人数也不少，有7个仓库的star超过了100颗。特别是前3名，他们集成了超过10个滥用API，还经常更新，因此收到了大部分人的喜爱。

当然，也不是没有厂商发现这个问题，虽然他们努力地修复了一些API（下图红线表示因为API失效而从仓库中删除的时间），但远远赶不上富有创造力的攻击者们挖新API的速度（蓝线表示新API第一次出现的时间）。

在一些工具包中，我们发现了13个中间商的API。他们不直接提供漏洞API，而是把漏洞API包装成自己的图片存储功能，只介绍通过他们的服务可以把图片存储到各个厂商。

在这之中，竟然还有一家提供付费功能！

相比于开源仓库，中间商们具有更强大的挖洞能力（也许是商业机密），他们大多有十来个存储目标可供选择，最多的一家甚至提供了23种上传选项。还好，他们疏于运营和更新，大部分功能都已经在厂商的修复下失效了。

尽管如此，不可否认的是，这些图床任意上传问题会切切实实地侵占公司资源，并因为不可控内容的图片链接在互联网上的随意传播而承担声誉受损的风险。

它不是某种系统漏洞，而是由于功能设计不足而导致的漏洞，每个漏洞的形成独立又共通。当厂商将每个问题当成独立事件时，大量攻击者正在通过其中的共通性挖掘并滥用他们。

黑产从业人员们上传的图片也许很容易检测，但当这些漏洞API传播在各个平台上，滥用者就可能只是千千万万个想给自己博客的图片找个地方放又不想开通网盘会员的普通人。