Google app engine GoogleAppEngine的版本信息是秘密吗？_Google App Engine_Exploit

Google app engine GoogleAppEngine的版本信息是秘密吗？

google-app-engine

Google app engine GoogleAppEngine的版本信息是秘密吗？,google-app-engine,exploit,Google App Engine,Exploit,我注意到我们的GoogleAppEngine应用程序中有一些XXE漏洞。然而，似乎您必须知道文件的确切路径才能读取它们，例如 /base/data/home/apps/s~//appengine\u config.py 我不确定AppEngine是如何想出，但我该有多自信呢那和没有在任何地方公开？我想知道这个数字是从哪里来的，经过一些搜索和实验，我发现它实际上是应用程序更新时的时间戳的模糊版本 version_id = self.request.environ["CURRENT_VERSION

我注意到我们的GoogleAppEngine应用程序中有一些XXE漏洞。然而，似乎您必须知道文件的确切路径才能读取它们，例如

/base/data/home/apps/s~//appengine\u config.py

我不确定AppEngine是如何想出

，但我该有多自信呢

那

和

没有在任何地方公开？

我想知道这个数字是从哪里来的，经过一些搜索和实验，我发现它实际上是应用程序更新时的时间戳的模糊版本

version_id = self.request.environ["CURRENT_VERSION_ID"].split('.')[1]
timestamp = long(version_id) / pow(2,28)
timestamp = datetime.datetime.fromtimestamp(timestamp).strftime("%d/%m/%y %X")
logging.info("Timestamp=" + timestamp)

例如，大约5分钟前上传的最新版本my app是live。375065912366661170，当运行上述代码时，显示为11/04/14 15:16:44，这是上传时间（UTC）。由于该值基于时间，而不是您的特定应用程序，因此该值将在该确切时间点更新的所有应用程序引擎应用程序版本中共享

这就是我的答案

因此，在回答您最初的问题时，虽然据我所知，

部分没有公开，但它不是秘密。如果有人真的愿意，他们可以在一段时间内为所有时间戳生成所有可能的值，他们怀疑您上次更新了您的应用程序，并尝试所有可能的路径。

您是否尝试过从另一个您都拥有的应用程序读取文件以测试您是否有权限？我想你没有阅读权限。