疑惑， oss 地址是如何被扫描出来的

oss 的 apikey secrect 泄漏了
上传接口没鉴权被人扫到了
服务器被人黑了，看到代码
代码不小心公开了

可能性太多了

某些 OSS 配置可能允许匿名用户上传文件
有没有集成外部 API 或插件

被 hui 产利用了

DNS 泄漏

那些 html 都是瑟瑟或菠菜的推广页、落地页

哪个云？我在某 tos 也遇到过，不过文件是些没意义的很小的文件，不像是被黑，关掉公共写就好了。

去百度搜你 oss 域名，看下是不是组里某些小可爱为了水一篇博客文章直接给你 ak sk 全部没打码直接粘贴到 csdn 之流了。我见过好几个这种小可爱了

爬虫，而且可以 dns 反解析顺腾摸瓜出全部，很多 oss 都是共用一个 CDN IP 这样超级容易被一窝端

@Seanfuck 阿里云 他是怎么发现我上传接口地址的 还有秘钥那些

@totoro52 可是秘钥是如何被拿到的呢 那是保存在服务器上的

@kxg3030 服务器被黑了?

服务器被黑了+1

有前端上传 OSS 吗，有的话密钥是怎么下发的？临时密钥和文件预签名都能被利用，既然是需要登录，就是用户作案

服务器入侵我觉得不太可能,服务器价值远比 oss 高。
你提供的东西不够详细,范围有点大
1. oss 是私写？ 我当你是
2. 是 oss 直传? 那就可能是 api 泄露（被别人扫到了 api 文档且没密码 或者被 api 厂家卖了?）
3. 不登陆无法上传？ 确定吗? 比如 wangeditor,自己扩展 oss 上传,api 没鉴权的话,又是随便上传。
4. apikey secrect 泄露? 倒也可能同事发帖 git 仓库等...

OSS 设置私有, 用 STS 上传文件, 文档上不都写着吗?

就算暴露了也没事啊, 让前端上传就得用公网 OSS 地址啊!

阿里云公共的一些 OSS 服务, 也暴露的公网 OSS 地址啊!