文章总结： 本文讲述了作者在测试Dropbox旗下的docsend.com时发现的安全漏洞。由于该平台允许设置6位数字的演示访问码，作者通过拦截请求并进行暴力破解，利用响应体中的success参数筛选有效代码，成功实现了对任意实时演示的未授权访问。 综合评分： 70 文章分类： 渗透测试,WEB安全,SRC活动

0110.未经授权访问 Dropbox 上的任何演示文稿

原创

Raccoon

Rsec

2026年1月2日 11:11 贵州

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：大公司中的简单漏洞

注意： 我一年半前发现了这个漏洞，该漏洞已被修复，不再存在。

各位黑客好，

在测试过程中，我发现了一个在范围内的域名 (docsend.com)。进入该域名并探索其功能后，我发现可以创建组织并邀请人员加入。我创建了组织并继续探索。之后，我发现了另一个功能（问题就出在这里）：所有者可以创建在线演示或在线会议，并设置一个 6 位数的访问代码，允许特定人员输入该代码才能访问会议。

我拦截了请求，一开始试图篡改响应，但失败了。所以我尝试暴力破解代码。我向入侵者发送了请求，并输入了我的6位代码列表，然后启动了它。

如您所见，它运行正常。但也存在一个问题，如图所示，状态码全部显示为 200 OK。

所以我尝试深入挖掘，查看响应体，发现 JSON 响应中有一个名为“success”的参数。由此我可以根据响应体筛选结果。例如，如果 6 位数的验证码为 false，则响应中会显示 false，正如你所看到的。

一切顺利。我再次发送了入侵请求，但这次我过滤了响应体，使其不显示 {“success”:false}。最终，我找到了有效的代码，并进行了测试，正如你所看到的，我成功访问了实时演示。

影响

轻松实现对任何实时会话的未经授权访问。

希望这对你有帮助❤

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Raccoon《0110.未经授权访问 Dropbox 上的任何演示文稿》