离谱！黄色图片竟疑似来自某东？！事关每个厂商声誉！

adopi

离谱！黄色图片竟疑似来自某东？！事关每个厂商声誉！

不知道朋友们逛一些奇怪网站浏览一些奇怪图片的时候
有没有好奇宝宝注意过
这些图片来自哪里
白泽同学们在网上冲浪的时候发现
竟然是某东！


互联网大厂什么时候还拓展了这种业务？

这么开放了吗？

过去黑产团伙不都是自己买一堆服务器的吗？

（也确实有）

图源网络

白泽浅浅一翻，竟查出几十个厂商都有黑产图片????

还出现在上万个黑产网站中


找到黑产图片最多的10家公司和所属图片域名示例，能找到漏洞API的已上报并获厂商和CNVD确认
究竟是道德的沦丧还是人性的败坏
抑或是黑产大哥们的省钱新思路
请收看新一期的走进科学白泽成果分享

本文系复旦大学系统软件与安全实验室网络犯罪研究小组研究成果，相关内容发表于网络安全领域国际顶级会议ACM CCS 2023，论文标题《Understanding and Detecting Abused Image Hosting Modules as Malicious Services》。更多细节请详见论文正文。

散落各地的图片上传接口
白泽同学深入探究后发现，这些图片的路径并非云存储服务
（云存储厂商可以松一口气了，钱没乱赚）
而是各种业务所需的图片接口！
比如投诉时附上的证明图片、跟客服说明情况的图片、评论区的买家秀……
（业务部门快醒醒，你们存储预算被花光啦！）


云存储服务部门对于违规资源严防死守，是不是没有想过散落在公司各个业务部门角落的图床功能会背刺？
这些功能既没有内容审核，也没有权限管理，更没有生存周期管理，都只是简简单单实现了一个储存图片的功能。
但他们和云存储服务一样有大厂背书，服务稳定，不少还有CDN全球加速，最重要的是它免费！因此吸引了不少搞黑产的同志们。


让我们看一个错误示范（该漏洞上报后已被修复）：


我们将负责图片上传和显示的整个流程实现称作图床模块。假设张三新买的衣服上有个洞，于是他打算向客服发个照片说明问题。张三点击了上传，于是这张图片被传到了客服公司的图床中。为了在张三的浏览器中也能看见这张照片，图床模块把图片的远端地址传给了张三的浏览器，于是浏览器就可以把图片显示在张三的页面中了。

在这个案例中，这个客服框是一个面向游客的功能，因此不需要任何登录措施。这个会将图片地址传回的图床模块就这样被黑产老哥们拿着进行了一个脱离平台的乱用。
白泽同学开发了一个名为Viola的工具来自动化寻找这些可以被滥用的图床模块，共扫描到338个业务功能的图片可以留存图片3天以上，并发现在79.63%的业务功能中图片在7天后还有效。
在这个过程中我们发现的可以独立传图片的业务场景有：

利用页面代码在视觉上隐藏但其实能触发的废弃评论功能
（下次不要就直接删掉啊）
产品demo中仅做演示但真能用的客服机器人
（给我们打开思路后来在各种demo中找到了很多可被滥用的图床模块）
公司用来收集漏洞的页面里的漏洞证明截图功能
（然后我们向这个页面报了这个页面本人的漏洞）
承接了很多知名公司业务的客服功能提供商
（报漏洞的时候不仅报给乙方还贴心地抄送了甲方）
……

当然啦，以上只是一些奇妙案例，更多的还是各种随处可见真正在使用的功能，我们把扫描到的可被滥用的图床模块的来源功能做了统计，如下图所示：



竟然还有漏洞API工具包

作为一种白嫖免费存储的机会，除了黑产大哥之外，自然少不了热心人士帮助大家使用这些API。

我们在Github上找到了89个开源仓库，为大家打包好了收集自各个厂商的漏洞API可以一键使用。

简单点的，教你在命令行一键上传图片。


复杂点的，竟然搭配了一整套管理系统，助你选择想用的厂商，记录图片的存储地址，甚至可以搭建网站给他人使用。


使用形式也很齐全，允许你搭配到CMS、浏览器插件，甚至小程序中。

这些工具的使用人数也不少，有7个仓库的star超过了100颗。特别是前3名，他们集成了超过10个滥用API，还经常更新，因此收到了大部分人的喜爱。


当然，也不是没有厂商发现这个问题，虽然他们努力地修复了一些API（下图红线表示因为API失效而从仓库中删除的时间），但远远赶不上富有创造力的攻击者们挖新API的速度（蓝线表示新API第一次出现的时间）。




免费漏洞还要付费使用
在一些工具包中，我们发现了13个中间商的API。他们不直接提供漏洞API，而是把漏洞API包装成自己的图片存储功能，只介绍通过他们的服务可以把图片存储到各个厂商。
在这之中，竟然还有一家提供付费功能！


相比于开源仓库，中间商们具有更强大的挖洞能力（也许是商业机密），他们大多有十来个存储目标可供选择，最多的一家甚至提供了23种上传选项。还好，他们疏于运营和更新，大部分功能都已经在厂商的修复下失效了。
厂商怎么说
我们将找到的漏洞API上报给各个厂商，并同时报告给CNVD，有些还配上了我们找到的黄色图片们（不算传播淫秽色情吧大概）以供验证。除了未回复的和已确认的厂商之外，我们还听到了一些“是存在但我不管”的声音：

有人说：“目前符合我的设计目的”

有人说：“是三方漏洞不影响我的业务”

有人说：“业务部门说有内容审核机制所以问题可控”

有人说：“内部已知问题且无法根治，所以忽略”
图片

尽管如此，不可否认的是，这些图床任意上传问题会切切实实地侵占公司资源，并因为不可控内容的图片链接在互联网上的随意传播而承担声誉受损的风险。

它不是某种系统漏洞，而是由于功能设计不足而导致的漏洞，每个漏洞的形成独立又共通。当厂商将每个问题当成独立事件时，大量攻击者正在通过其中的共通性挖掘并滥用他们。

黑产从业人员们上传的图片也许很容易检测，但当这些漏洞API传播在各个平台上，滥用者就可能只是千千万万个想给自己博客的图片找个地方放又不想开通网盘会员的普通人。

结语

图床滥用问题已经形成一整套挖掘-包装-使用的生态链，不再是单个漏洞的利用问题。它不仅会造成网站存储资源的浪费，更会因为图片中的不可控内容给厂商带来声誉上的影响。

我们将该问题整理成论文，上报了我们在github中和自己扫描到的漏洞，并已获69个确认。除此之外，我们分析了这一单点群发问题形成的原因，并提供了正确的图片模块实现以供参考。同时，我们也开源了我们的扫描工具，帮助网站建设者确认是否存在滥用风险。希望各个大小网站提高自己的安全意识，以应对这一潜在的声誉风险。