云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏

本文涉及的产品
对象存储 OSS,20GB 3个月
.cn 域名,1个 12个月
对象存储 OSS,恶意文件检测 1000次 1年
简介: 云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏

对象存储-以阿里云为例:

正常配置

外网访问

提示信息:

AccessDenied

Anonymous user has no right to access this bucket.


权限配置错误

公共读或公共读写:可完整访问但不显示完整结构

外网访问

提示信息

AccessDenied

The bucket you access does not belong to you.

前提是知道文件名称即需要知道完整文件访问路径

权限Bucket授权策略:设置ListObject显示完整结构

初始配置

当然这里可以设置白名单等条件进行过滤防范

外网访问

可以看到文件被完成的罗列出来

当然实际生产环境下oss存储文件量很大,可以使用工具举行遍历爬取

效果如图

权限Bucket读写权限:公共读写直接PUT文件任意上传

正常的进行put上传文件当然是禁止的操作

这里我们修改一下读写权限进行简单测试

外网访问

好像也没啥具体特征,需要手动发发包尝试

上传成功,不过没有解析环境,危害就是消耗OSS存储资源

域名解析Bucket接管:

环境搭建

域名解析这里也自动生成

外网访问

此时的前端访问是可以解析html文件的

Bucket存储桶绑定域名后,当存储桶被删除而域名解析未删除,可以尝试接管!

外网访问

提示信息:

NoSuchBucket

The specified bucket does not exist.

当Bucket显示NoSuchBucket说明是可以接管的,如果显示AccessDenied则不行。

但是绑定的域名解析记录并没有删除

利用就是重新新建一个bucket进行覆盖

使用对方域名进行钓鱼操作

AccessKeyId,SecretAccessKey泄漏:

-APP,小程序,JS中泄漏导致

AccessKey标识特征整理-查找

补一些案例

存储桶遍历

PUT上传文件

参考

https://wiki.teamssix.com/CloudService/more/

相关文章
|
2月前
|
存储 搜索推荐 对象存储
OSS绑定自定义域名至Bucket默认域名
OSS绑定自定义域名至Bucket默认域名
94 1
|
2月前
|
域名解析 网络协议 安全
【域名解析DNS专栏】云服务中的DNS解析服务比较:阿里云、AWS、Azure大PK
【5月更文挑战第23天】此对比分析探讨了阿里云DNS、AWS Route 53和Azure DNS的服务特点。阿里云DNS以其智能解析和IPv6支持脱颖而出,适合中国地区用户;AWS Route 53凭借其强大的路由策略和与AWS生态的深度集成吸引高级用户;Azure DNS则以简洁管理和DNSSEC安全支持见长,与Azure平台集成良好。选择取决于具体需求,如功能、易用性、性能、安全性和成本。
【域名解析DNS专栏】云服务中的DNS解析服务比较:阿里云、AWS、Azure大PK
|
2月前
|
安全 Go 开发工具
对象存储OSS产品常见问题之go语言SDK client 和 bucket 并发安全如何解决
对象存储OSS是基于互联网的数据存储服务模式,让用户可以安全、可靠地存储大量非结构化数据,如图片、音频、视频、文档等任意类型文件,并通过简单的基于HTTP/HTTPS协议的RESTful API接口进行访问和管理。本帖梳理了用户在实际使用中可能遇到的各种常见问题,涵盖了基础操作、性能优化、安全设置、费用管理、数据备份与恢复、跨区域同步、API接口调用等多个方面。
|
2月前
|
存储 域名解析 安全
对象存储OSS产品常见问题之控制台概览显示的流量信息和bucket的不一致如何解决
对象存储OSS是基于互联网的数据存储服务模式,让用户可以安全、可靠地存储大量非结构化数据,如图片、音频、视频、文档等任意类型文件,并通过简单的基于HTTP/HTTPS协议的RESTful API接口进行访问和管理。本帖梳理了用户在实际使用中可能遇到的各种常见问题,涵盖了基础操作、性能优化、安全设置、费用管理、数据备份与恢复、跨区域同步、API接口调用等多个方面。
123 0
|
2月前
|
存储 弹性计算 小程序
对象存储OSS产品常见问题之Bucket授权策略中授权用户的id如何解决
对象存储OSS是基于互联网的数据存储服务模式,让用户可以安全、可靠地存储大量非结构化数据,如图片、音频、视频、文档等任意类型文件,并通过简单的基于HTTP/HTTPS协议的RESTful API接口进行访问和管理。本帖梳理了用户在实际使用中可能遇到的各种常见问题,涵盖了基础操作、性能优化、安全设置、费用管理、数据备份与恢复、跨区域同步、API接口调用等多个方面。
|
2月前
|
存储 弹性计算 文件存储
对象存储OSS产品常见问题之OSS Bucket 创建好后更改存储类型如何解决
对象存储OSS是基于互联网的数据存储服务模式,让用户可以安全、可靠地存储大量非结构化数据,如图片、音频、视频、文档等任意类型文件,并通过简单的基于HTTP/HTTPS协议的RESTful API接口进行访问和管理。本帖梳理了用户在实际使用中可能遇到的各种常见问题,涵盖了基础操作、性能优化、安全设置、费用管理、数据备份与恢复、跨区域同步、API接口调用等多个方面。
102 0
|
2月前
|
存储 弹性计算 安全
oss配置Bucket属性
oss配置Bucket属性
289 1
|
2月前
|
存储 API 开发工具
oss创建bucket
oss创建bucket
241 1
|
5天前
|
消息中间件 分布式计算 DataWorks
DataWorks产品使用合集之如何使用Python和阿里云SDK读取OSS中的文件
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
|
3天前
|
存储 运维 安全
阿里云OSS的优势
【7月更文挑战第19天】阿里云OSS的优势
16 2