文章总结： 文章披露萤石云平台Appkey泄露漏洞，攻击者可利用泄露密钥进行未授权登录并执行设备管理等操作。作者提出密钥权限管控、接口鉴权加固等防护措施，并强调该研究仅用于安全防御。 综合评分： 82 文章分类： 漏洞分析,WEB安全,安全建设,应用安全,数据安全

萤石云Appkey泄露利用

原创

SharkJ0001 SharkJ0001

Neon-X Sec

2026年4月1日 13:45 河北

在小说阅读器读本章

去阅读

某次src挖掘发现萤石云Appkey泄露，文章描述泄露的信息如何利用，文末有相关脚本及防护建议

泄露界面如下展示了官方地址和appkey及secret

注册的应用平台，与其泄露的密钥结构一致

注册地址：https://open.ys7.com/console/device.html

此密钥可用于信息调用，可关注萤石云开放平台并进入对应小程序模块，在授权入口处填入泄露的 appkey 完成登录操作。登录成功后，不仅可正常进入平台功能界面，还能进一步执行设备管理、数据查询、配置查看等一系列未授权操作，存在明显的权限越权与信息泄露风险，可能导致平台数据被非法获取、设备状态被恶意操控等安全问题

编写脚本获取accssstoken

关注萤石云开放平台，点击小程序

选择appkey登录

登入后可以做其他操作或访问功能界面等

安全防护建议

针对此类密钥泄露引发的未授权访问、凭证盗用风险，建议从密钥管理、访问控制、接口鉴权、日志审计等方面开展全面防护，避免因敏感信息泄露导致平台被非法入侵、数据被窃取。

1. 严格管控密钥权限与生命周期。对 appkey、access_token 等敏感凭证设置最小权限原则，避免使用超管或高权限密钥进行普通业务调用；定期轮换密钥，及时停用废弃、泄露、过期的密钥，防止长期有效密钥被滥用。

2. 加强接口访问安全校验。所有开放接口必须实现完整鉴权机制，对 appkey 绑定 IP 白名单，限制仅授权地址可调用；对 access_token 设置较短有效期，配合 refresh_token 使用，降低凭证泄露后的影响范围。

3. 规范密钥存储与使用场景。严禁在代码仓库、配置文件、前端页面、日志文件等位置明文存储密钥；避免在小程序、客户端等易被逆向分析的场景硬编码敏感凭证，防止被轻易提取。

4. 开启全流程日志审计与异常告警。对密钥登录、token 获取、接口调用等操作进行完整日志记录，实时监控高频访问、异地登录、非常规调用等异常行为，发现可疑操作立即阻断并通知管理员。

5. 加强内部权限管理与安全意识培训。严格控制平台管理账号的权限分配，避免多人共用高权限账号；定期开展安全培训，提升开发及运维人员对密钥、凭证等敏感信息的保护意识，杜绝因疏忽导致泄露。

本文章及相关技术内容仅用于网络安全技术交流、安全能力学习与防御研究，旨在提升安全防护意识与漏洞防护水平，严禁用于任何非法入侵、未授权访问、数据窃取、恶意攻击等违法违规活动。

文中所涉及的平台、接口、密钥、账号等相关信息，仅为技术原理演示与案例分析，非针对任何实体单位的攻击行为指导。任何单位或个人若将本文所述内容用于违法犯罪用途，需自行承担全部法律责任、民事责任及相应后果，与作者及分享方无关。

读者应遵守《网络安全法》《数据安全法》《个人信息保护法》等国家相关法律法规，恪守网络安全道德规范，在获得合法授权的前提下开展测试与研究。未经许可擅自对目标系统进行扫描、渗透、入侵及数据获取等行为，均属于违法行为，违者将依法追究责任。

密钥生成脚本后台回复0401获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《萤石云Appkey泄露利用》