如果我有一个图片 url, 技术层面上可以拿到这个图片所在目录下的所有其他图片吗

2023-03-26 01:09:41 +08:00
 hardtopickname

如题,如果我现在有这么一个 url: https://images.shobserver.com/news/690_390/2021/8/8/8a6f2c9d700a465bbdf506b4944ae86a.jpg ,我有办法拿到 https://images.shobserver.com/news/690_390/2021/8/8/目录下所有的其他图片吗,因为文件名一般都是哈希过的,暴力遍历不可取。

1101 次点击
所在节点    问与答
7 条回复
wunonglin
2023-03-26 01:15:00 +08:00
没有
cxtrinityy
2023-03-26 01:47:38 +08:00
实际情况想要尝试拉取目标网站的资源也是词典暴力轮询,hash 文件名又不在词典收录范围内,所以是没有可能直接通过 URL 来获取所有资源的
更可靠的是通过网站漏洞来执行 shell 获取网站的资源路径
Tink
2023-03-26 08:09:39 +08:00
即使暴力轮询也没意义,这个目录完全有可能是虚拟的
512357301
2023-03-26 10:51:46 +08:00
肯定不行的。
设计这种存储方案的一看就是经过深思熟虑的,否则为什么要用哈希,直接自增 id 不就行了,就是怕被拖库啊,你现在想要拖库,那自然很难的。
假如让你设计存储方案,估计也会这么设计的,以己之矛攻己之盾,自相矛盾啊
bjzhush
2023-03-26 21:55:05 +08:00
遍历是不可能的
不过之前有些程序有目录遍历漏洞,类似 ../../ 这种的,可以拿到所有文件列表
yrj
2023-03-27 03:46:40 +08:00
上帝的技术,可以。
lzy250
2023-03-27 09:48:04 +08:00
哈哈,等对方运维把 nginx 的目录浏览打开说不定可以看到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/927197

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX