15-06-5
1

假如满足以下条件,用户是否可以非法发送消息:
1. 我在LeanCloud控制台没有设置鉴权
2. hosts中映射域名 http://chat.mydomain.com (此域名是我的生产环境正在用的域名)
3. 获得了我的appId
4. 使用LeanCloud的JS SDK向我的conv发消息

如果攻击者这样做,是不是可以非法向任何conv发消息?

15-06-13

是的,理论上是这样,所以强烈建议加上签名。

15-06-13
dennis

签名功能貌似只是用在实时通讯里面,假如按照这个理论,攻击者可以通过js代码中的以下方法获得应用的appid和key:
AV.initialize("5zpl41rbuvasx7wmz08v78vw0o2l1p01sk39o7stzr9mnzyz", "0prwcdf6ugspp6if8b8l6o6r4ya6wi1c8xbv41pcovkvbu37");
然后在本地mock一个环境出来,对用户的存储数据进行任意操作,假如是这样,这是一个很恐怖的漏洞。