香河县做网站,医院网络营销推广方案,做网站用什么面板好,南昌网站建设模板下载网址前言
看了几家云厂商的对象存储#xff0c;使用上有相似也有差异#xff0c;聊聊阿里云、腾讯云、京东云三家对象存储在使用中存在的风险以及防护措施。
0x01 云存储命名
阿里云对象存储OSS(Object Storage Service)#xff0c;新用户免费试用三个月#xff0c;存储包容…前言
看了几家云厂商的对象存储使用上有相似也有差异聊聊阿里云、腾讯云、京东云三家对象存储在使用中存在的风险以及防护措施。
0x01 云存储命名
阿里云对象存储OSS(Object Storage Service)新用户免费试用三个月存储包容量规格20G三个月.
腾讯云对象存储 COSCloud Object Storage新用户标准存储容量包有效期6个月180天个人用户50GB6个月企业用户1T六个月。
京东云对象存储OSSObject Storage Service 目前无限制存储包容量规格10G/月请求次数50W次/月的标准低于标准一直免费使用。
0x02 云存储空间创建
阿里云 创建存储桶Bucket的名称唯一设置和地域没有关系创建存储桶后的域名规则为BucketName.oss.Region.aliyuncs.com
腾讯云 腾讯云创建存储桶名称唯一跟低于也无关系其名称构成BucketName-APPID.cos.Region.myqcloud.com
京东云 京东云的bucket地域只有四个命令规则为BucketName.s3.position-id.jdcloud-oss.com
华北 华东 0x03 云存储API密钥存储
阿里云
进入 离开创建页面后无法获取SK需提前保存SK后期无法查看 这里用户权限需要授权 如果未授权则Forbiden访问 腾讯云 创建AK/SK后期无法查询密钥存储要求上基本与阿里云一致。
帮助网安学习全套资料S信免费领取 ① 网安学习成长路径思维导图 ② 60网安经典常用工具包 ③ 100SRC分析报告 ④ 150网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集含答案 ⑧ APP客户端安全检测指南安卓IOS
京东云
京东云需要首先设置AccessKey否则无法操作存储桶。 AccessKey创建后可AS查看 0x04 云存储常见安全问题
1. 配置不当导致的安全问题
阿里云 阿里云设置公有读 存储桶内的文件可被读取虽然无法直接list对象但是可以通过爆破的方式读取文件内容 当设置包含listobject时web访问存储桶直接可遍历对象 当Bucket的权限设置为公共读写的时候是可以直接使用PUT方式上传文件到存储桶内这种配置会导致桶内文件来源的真实性无法保证 文件上传成功 腾讯云
腾讯云的存储桶权限和阿里云类似描述不同当非公共读写、非私有的条件下是可以遍历桶内文件的 存储桶内的文件可被读取虽然无法直接list对象但是可以通过爆破的方式读取文件内容 公共读写权限配置后可直接上传 京东云
京东云在Bucket的权限上和阿里、腾讯基本一致非私有状态下也存在Bucket文件可遍历 上传txt 文件写入成功
风险
针对配置不当可能产生的风险在于
数据泄露 配置不当可能导致存储桶中的敏感数据被公开访问如用户个人信息、敏感文件等。后渗透风险桶内数据来源的真实性面向用户无法保障且对用户的安全性造成影响可利用该漏洞进行供应链攻击。
2.策略配置不当导致的安全风险
针对三家厂商的存储桶阿里云bucket授权策略 腾讯云Policy策略 这两家比较类似
京东云CORS跨域规则 规则添加简单测试还是比较友好的
风险
规则配置可能会导致存储桶敏感文件泄露比如说规则设置添加遍历存储桶对象等。
3.存储桶爆破
阿里云
阿里云针对存储桶的回显返回值不同 无Bucket 腾讯云
腾讯云的回显 京东云 风险
虽然三家的产品根据回显值均可以爆破如果从利用角度来讲需要配合前面的配置不当才能继续后渗透从爆破的角度来讲腾讯云的域名构成BucketName-APPID.cos.Region.myqcloud.com的爆破存储桶的风险可以说是最低的甚至可以说基本上不用考虑。目前下载大量的存储桶在业务中的应用可能最常见的是图片文件云存储利用一般是不设置域名绑定存储桶的。
4.AK/SK泄露
AK 和 SK 泄露可能被恶意用户用于未经授权的访问云服务资源导致数据泄露、篡改或删除等安全问题。针对不同厂商目前有工具可直接利用泄露的AK/SK接管存储桶。
针对不同厂商对象存储AK/SK的创建用户的权限划风险需要注意
阿里云RAM访问控制 腾讯云用户访问管理权限分配 京东云 用户授权 用户权限配置不当会导致云服务被完全接管。
0x05 云存储防护
加强身份验证和访问控制 使用身份和访问管理IAM来限制对存储桶和其中对象的访问。确保只有授权的用户或服务能够访问并严格控制他们的权限采用最小权限原则。加密数据 对于敏感数据采用适当的加密措施包括数据在传输和静态存储时的加密。网络安全配置 配置网络安全组、防火墙等措施限制对存储桶的访问仅来自可信来源减少公开访问的风险。监控和日志记录 设置监控警报对存储桶的访问和活动进行实时监控并记录审计日志以便及时发现异常行为或潜在的安全威胁。定期备份和恢复 定期备份存储桶中的重要数据并建立有效的恢复计划以防止数据丢失或损坏例如意外删除或勒索软件攻击。防止公开访问误配置 定期审查存储桶的访问权限配置确保没有意外的公开访问权限避免因配置错误导致数据泄露的风险。实施访问限制策略 使用 IP 白名单或访问令牌等策略限制存储桶的访问仅限于授权的用户或系统。
