【云安全】阿里云 OSS对象存储攻防

最新推荐文章于 2025-06-11 11:54:32 发布
最新推荐文章于 2025-06-11 11:54:32 发布
阅读量929 收藏 8
点赞数 4
CC 4.0 BY-SA版权
文章标签: 阿里云 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84434570/article/details/140762075

01 

Bucket权限配置错误-公开访问

在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶。

图片

在此时如果选择公有读的话,会出现两种情况:

1、在只配置读写权限设置为公有读或公共读写的情况下,无法列出对象。

图片

但是可以直接访问对应的KEY路径:

图片

图片

图片

2、如果想列出Object对象,只需要在Bucket授权策略中设置ListObject即可。

图片

图片

这样再当我们访问存储桶域名的时候就会发现,已经把我们存储桶的东西列出来了。

图片

02 

Bucket桶爆破

当不知道 Bucket 名称的时候,可以通过爆破获得 Bucket 名称,这有些类似于目录爆破,只不过目录爆破一般通过状态码判断,而这个通过页面的内容判断。

当对于阿里云OSS 不存在有两种返回情况,分别是 InvalidBucketName 和 NoSuchBucket。

图片

InvalidBucketName:表示存储桶的名称不符合规范,属于无效的存储桶名称。

图片

NoSuchBucket:表示没有这个存储桶。

<
最低0.47元/天 解锁文章

200万优质内容无限畅学
阿里云 OSS对象存储攻防
墨痕诉清风的博客
05-07 845
当策略可写的时候,除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外,如果目标网站引用了某个 s3 上的资源文件,而且我们可以对该策略进行读写的话,也可以将原本可访问的资源权限设置为不可访问,这样就会导致网站瘫痪了。假设有以下一种情况,管理员通过域名解析并绑定了一个存储桶,但是管理员将存储桶删除后,没有将域名解析的CNAME删除,这时会访问域名就会出现上面的情况,如果在配置存储桶时,管理员错误的将存储桶权限,配置为可写,这将会导致攻击者可上传任意文件到存储桶中,或覆盖已经存在的文件。
红队攻防渗透技术实战流程:云安全之云服务安全:OSS对象存储
HACKONE的博客
05-16 674
通俗易懂地解释,“云”就像是一个巨大的、虚拟的、可以随时访问的计算机仓库。这个“仓库”里有无数的服务器、存储设备和其他硬件资源,它们通过网络连接在一起,形成一个庞大的计算网络。这个网络中的资源可以被不同的用户或组织共享,用户只需要通过网络连接,就可以随时随地使用这些资源,而无需自己购买和维护硬件和软件。在线存储:当你把照片或文件上传到像Google Drive、Dropbox或iCloud这样的云服务时,你其实是在使用“云”来存储你的数据。
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 3121
阿里云OSS对象存储Bucket 劫持漏洞复现
oss储存桶上传保姆级教学
最新发布
zhuxichong123的博客
06-11 223
摘要:本文介绍了在Vue项目中集成阿里云OSS上传功能的具体实现步骤。首先通过npm安装ali-oss依赖,然后创建OSS工具类配置测试参数(强调生产环境应使用动态凭证)。接着演示了测试上传组件的实现,包括文件类型验证、上传逻辑和成功反馈。文章还指出了两个常见问题及解决方案:1)需要配置OSS公共读权限;2)跨域问题需设置允许的域名。最后提供了上传成功的效果截图参考。注意该方法仅适用于测试环境。(146字)
阿里云 OSS对象存储攻防【转载】
mingyqf的博客
05-31 3501
阿里云 OSS对象存储攻防 原文链接:https://zone.huoxian.cn/d/918-oss UzJu 24 2月 阿里云 OSS对象存储攻防 本文分为两个部分 第一部分介绍OSS对象存储攻防的方式 第二部分为真实漏洞案例 1、Bucket权限配置错误-公开访问 在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶 在此时如果选择公有读的话,会出现两种情况 1、在只配置读写权限设置为公有读或公共读写的情况..
浅析云服务oss/obs/cos对象存储安全攻防
道阻且长,行则将至
01-21 3434
本文主要学习了云储存服务的基础使用,实践掌握了 Bucket 对象存储服务错误配置带来的的安全风险,并重点分析了云主机 AccessKeySecret 认证凭据泄露所带来的风险。
阿里云oss对象存储
weixin_44019875的博客
08-20 544
配置好了阿里云跨域拦截,但是就是403,出现跨域上传不成功,最后的原因是自己电脑上的时间与正常时间差了两分钟,导致获取的签名延迟,验证不通过。 1、配置oss对象存储 (1)添加依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alicloud-oss</artifactId>
利用阿里云oss对象存储,来转发http流量实现(cs)Cobalt_Strike
09-05
阿里云OSS对象存储服务)是一种云存储服务,它提供了安全、可靠、高性能、低成本的云存储能力。在本文中,我们将探讨如何利用阿里云OSS对象存储来转发HTTP流量,实现Cobalt Strike的攻击模拟,以及如何通过这种...
云上攻防&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_46081990的博客
04-19 2264
对象存储是一种用于存储和管理大量非结构化数据的技术,也被称为云存储。它将数据以对象的形式进行存储,并为每个对象分配唯一的标识符。与传统的文件系统不同,对象存储不采用多层级的文件结构,而是采用一个称为"桶(Bucket)"的存储空间,其中包含大量扁平化的对象。对象存储的最大特点是对象名称即为一个域名地址,一旦对象被设置为公开访问,任何人都可以通过访问该地址获取对象。同时,对象存储提供了REST API的方式,使得对象的拥有者可以方便地访问和管理其中的对象。
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
SuperherRo的博客
02-29 2654
1、云服务-对象存储-权限配置不当 2、云服务-对象存储-域名解析接管 3、云服务-对象存储-AccessKey泄漏
OSS防止恶意被刷
xiangzaixiansheng的博客
10-09 8667
OSS和CDN都是一些常用的通过流量计费的,如果被恶意刷新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云oss的防刷措施。首先我们分两种情况来排查:1、恶意referer访问2、恶意ip库脚本刷新。
如何创建阿里云oss存储桶
问题很多的小明
07-10 3291
如何创建阿里云oss和秘钥 感觉比某网盘还好用 0x01 购买阿里云oss https://www.aliyun.com/?utm_content=se_1000301881 购买后,开通oss,进入控制台 https://oss.console.aliyun.com/overview 创建成功后,可以看到oss列表 oss地址 0x02 创建云秘钥 0x03 存储并访问 直接访问链接 ...
云安全阿里云ECS攻防
Websec
09-25 1037
此时有一个疑惑,在登录控制台的时候我们需要在用户名的后面加上一个@符号,后面跟上域名等,那么此时我们没有域名应该如何登陆?此时有一个疑惑,在登录控制台的时候我们需要在用户名的后面加上一个@符号,后面跟上域名等,那么此时我们没有域名应该如何登陆?在上文中我们提到关于RAM用户权限比较小的时候,我们没办法登录控制台,但是如果权限足够的情况,能否登录控制台。在登录控制台的时候我们需要在用户名的后面加上一个@符号,后面跟上域名等,那么此时我们没有域名应该如何登陆?
#渗透测试#漏洞挖掘#红蓝攻防#SRC漏洞挖掘#云安全#之OSS存储桶攻击
soc的博客
12-26 1434
对象存储OSS(Object Storage Service)是一种基于对象模型的存储服务,它将数据以对象的形式存储,每个对象由元数据、数据和唯一标识符组成,旨在为用户提供高可靠性、高可用性、高扩展性的海量数据存储解决方案。OSS(Object Storage Service,对象存储服务)是一种海量、安全、低成本、高可靠的云存储服务。OSS存储桶(Bucket)是OSS中的基本容器单元,用于存储对象(Object)。每个对象都是存储桶中的一个条目,包含数据、键(Key)和元数据(Metadata)。
vue-elment-admin 打包部署到oss存储桶
唐浩专栏
06-28 539
流水线打包和通过脚本上传到oss设置默认index.html即可访问 如果后端采用函数计算则不需要ecs了,需要另购RDS 高并发都能扛得住
服务架构(微服务体系架构-项目)二.创建阿里云日志存储桶(日志记录-节省服务器及镜像资源,记录日志)
wangzhe
10-21 698
log存储
PHP超大文件上传到OSS存储桶,以及断点续传。
MaskText的博客
10-11 1834
流程: 用户选择文件上传后,前端进行文件分片,然后把文件的详细参数提交给后端,因为文件分片后的类型是 blob 类型,所以获取文件信息方法可能会报错。 后端根据参数组合成一个唯一的md5值作为 UploadId(OSS上传文件的唯一标识),把文件的分片保存到本地之后 配置: 这里按照上传文件最大2G来配置的,根据自己的需要来做修改! Nginx: PHP: 前端: 这里以 layui 为例 Html: <script src="__STATIC__/admin/js/sparkmd5/spar
开启阿里云对象存储OSS防误删新功能,保护您珍贵的数据。
阿里云云栖号
07-01 2276
一、背景 阿里云对象存储 OSS 是保存海量数据的平台,支持丰富的应用。在使用过程中难免会遇到误操作、程序 Bug、覆盖写等导致数据被删除的场景,对于数据的丢失会非常着急,后果也非常严重,甚至某些情况下还会影响你的职业生涯。OSS 每年都会遇到多起客户误删除数据的事件,为此 OSS 开发了版本控制功能,开启该特性后,可以在误删除数据时通过历史版本找回数据。 二、版本控制技术介绍 存储空间(Bucket)开启版本控制后,OSS 会为 Bucket 中所有文件(Object)的每个版本指定唯一的 ..
【最佳实践】如何通过OSS的Bucket Policy设置访问授权?
weixin_34357436的博客
07-03 5281
如何让1个外部用户访问某个OSS资源?  某大型企业A使用OSS作为后端资源存储平台,当该企业期望将内部数据分享给下游合作伙伴B,那么基于阿里云OSS平台,有多少种方式呢? 方式1:基于Bucket 以及Object ACL:  Bucket 所有者将需要分享的文件ACL设置为“Public”模式,那么外部用户可以直接访问该文件的URL,而不需要通过身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值