设备环境:
- 物理机/虚拟机: 物理机
- 局域网/公网/反代/P2P: 内网
- 系统/APP版本号: (Chrome 版本 140.0.7339.214(正式版本) (arm64) )
- 提供手机/电视型号跟系统版本: ( PC 端网页)
BUG 现象:
我通过飞牛影视的网页版访问,在浏览器开发者工具中,发现了一个值为“"16CCEB3D-AB42-077D-36A1-F355324E4237"”的字段。我将其与网上公开的教程或多台设备上获取的值进行比对,发现该字段的值是固定的、所有用户和终端(如 PC 网页端、手机端)**都共享同一串字符。
**
出现频率:
必现
【建议与补充说明】
我强烈建议贵方技术团队核查此 API KEY 的作用和生成机制。
- 如果该 Key 用于用户或设备身份认证:它应该是一个唯一且秘密的令牌,为每个用户或设备独立生成。目前固定共享的 Key 严重违背了安全最佳实践,可能导致未授权操作和服务滥用。
- 如果该 Key 仅用于公共资源(例如:视频分类列表): 即使如此,也建议对其进行限流和加密混淆,以防止被恶意第三方滥用。
2025-10-4 03:47:19
2025-10-9 14:56:50