阿里云OSS预签名URL超时参数无效,key值无效,存在安全隐患?
使用场景
- 使用具有访问权限的RAM账号,生成预签名上传URL给到第三方,让第三方上传指定key值的文件,并设置超时时间60s.
- 使用具有访问权限的RAM账号,色花姑娘成预签名下载URL给到第三方,让第三方下载指定key值的文件,并设置超时时间60s.
开发方式
使用OSS Python SDK V2官方示例
https://help.aliyun.com/zh/oss/developer-reference/upload-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_0_4.36a25b5bRfeTr7&scm=20140722.H_2868614._.OR_help-T_cn~zh-V_1
https://help.aliyun.com/zh/oss/developer-reference/download-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_1_3.2bbd5436yutYsM&scm=20140722.H_2867538._.OR_help-T_cn~zh-V_1
现象
- 在使用预签名上传URL时,超时设置无效,即使超过了设置的60s时间,依然可以上传文件,甚至过了10个小时之后依然可以上传。
- 在使用预签名上传URL时,设置的key值无效,使用方只需要修改URL中的key值,便可以随意上传新文件。
- 在使用预签名下载URL时,超时设置无效,即使超过了设置的超时时间,依然可以下载文件。
总结
OSS服务的预签名URL超时设置以及key值效验无效,造成重大的安全隐患,第三方拿到url后可以在很长一段时间内对OSS服务进行上传下载操作,并且key值效验无效,可以任意上传文件。
完全按照官方文档进行操作,如果使用不当,还请指正。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
对象存储 OSS 是一款安全、稳定、高性价比、高性能的云存储服务,可以帮助各行业的客户在互联网应用、大数据分析、机器学习、数据归档等各种使用场景存储任意数量的数据,以及进行任意位置的访问,同时通过丰富的数据处理能力更便捷地使用数据。