对象存储-以阿里云为例:
正常配置
外网访问
提示信息:
AccessDeniedAnonymous user has no right to access this bucket.
权限配置错误
公共读或公共读写:可完整访问但不显示完整结构
外网访问
提示信息
AccessDeniedThe bucket you access does not belong to you.
前提是知道文件名称即需要知道完整文件访问路径
权限Bucket授权策略:设置ListObject显示完整结构
初始配置
当然这里可以设置白名单等条件进行过滤防范
外网访问
可以看到文件被完成的罗列出来
当然实际生产环境下oss存储文件量很大,可以使用工具举行遍历爬取
效果如图
权限Bucket读写权限:公共读写直接PUT文件任意上传
正常的进行put上传文件当然是禁止的操作
这里我们修改一下读写权限进行简单测试
外网访问
好像也没啥具体特征,需要手动发发包尝试
上传成功,不过没有解析环境,危害就是消耗OSS存储资源
域名解析Bucket接管:
环境搭建
域名解析这里也自动生成
外网访问 
此时的前端访问是可以解析html文件的
Bucket存储桶绑定域名后,当存储桶被删除而域名解析未删除,可以尝试接管!
外网访问
提示信息:
NoSuchBucketThe specified bucket does not exist.
当Bucket显示NoSuchBucket说明是可以接管的,如果显示AccessDenied则不行。 
但是绑定的域名解析记录并没有删除
利用就是重新新建一个bucket进行覆盖
使用对方域名进行钓鱼操作
AccessKeyId,SecretAccessKey泄漏:
-APP,小程序,JS中泄漏导致
AccessKey标识特征整理-查找
补一些案例
存储桶遍历
PUT上传文件
