阿里云OSS预签名URL超时参数无效,key值无效,存在安全隐患?

使用场景

  1. 使用具有访问权限的RAM账号,生成预签名上传URL给到第三方,让第三方上传指定key值的文件,并设置超时时间60s.
  2. 使用具有访问权限的RAM账号,色花姑娘成预签名下载URL给到第三方,让第三方下载指定key值的文件,并设置超时时间60s.

开发方式

使用OSS Python SDK V2官方示例
https://help.aliyun.com/zh/oss/developer-reference/upload-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_0_4.36a25b5bRfeTr7&scm=20140722.H_2868614._.OR_help-T_cn~zh-V_1
https://help.aliyun.com/zh/oss/developer-reference/download-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_1_3.2bbd5436yutYsM&scm=20140722.H_2867538._.OR_help-T_cn~zh-V_1

现象

  1. 在使用预签名上传URL时,超时设置无效,即使超过了设置的60s时间,依然可以上传文件,甚至过了10个小时之后依然可以上传。
  2. 在使用预签名上传URL时,设置的key值无效,使用方只需要修改URL中的key值,便可以随意上传新文件。
  3. 在使用预签名下载URL时,超时设置无效,即使超过了设置的超时时间,依然可以下载文件。

总结

OSS服务的预签名URL超时设置以及key值效验无效,造成重大的安全隐患,第三方拿到url后可以在很长一段时间内对OSS服务进行上传下载操作,并且key值效验无效,可以任意上传文件。
完全按照官方文档进行操作,如果使用不当,还请指正。

展开
收起
1159108401844004 2025-06-29 19:17:39 86 分享 版权
0 条回答
写回答
取消 提交回答

对象存储 OSS 是一款安全、稳定、高性价比、高性能的云存储服务,可以帮助各行业的客户在互联网应用、大数据分析、机器学习、数据归档等各种使用场景存储任意数量的数据,以及进行任意位置的访问,同时通过丰富的数据处理能力更便捷地使用数据。

还有其他疑问?
咨询AI助理