渗透测试 | 云上OSS攻防
2023-12-14 15:25:19 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

现在越来越多的应用开始上云,那么存储也从原来的本地存储迁移到了云上。云上用的最多的就是OSS,如果OSS的配置不正确,那么可能造成严重的风险,甚至导致全部数据泄露。

OSS的基本知识

先来了解一下OSS的基本知识

什么是OSS

OSS的英文全称是Object Storage Service,翻译成中文就是「对象存储服务」,官方一点解释就是对象存储是一种使用HTTP API存储和检索非结构化数据和元数据对象的工具。

白话文解释就是将系统所要用的文件上传到云硬盘上,该云硬盘提供了文件下载、上传等一列服务,这样的服务以及技术可以统称为OSS。

OSS常用的概念

1.存储空间(Bucket)

存储空间是您用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。

2.对象/文件(Object)

对象是 OSS 存储数据的基本单元,也被称为OSS的文件。对象由元信息(Object Meta)、用户数据(Data)和文件名(Key)组成。对象由存储空间内部唯一的Key来标识。

3.地域(Region)

地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region。

4.访问域名(Endpoint)

Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务,当访问不同地域的时候,需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint。

5.访问密钥(AccessKey)

AccessKey,简称 AK,指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户,AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,其中AccessKeySecret 必须保密。

OSS的权限设置

下面以阿里云OSS进行说明。

阿里云OSS的权限分为了下面四种,如下图(来自阿里云OSS官网)

详细的可以看下面的链接:https://help.aliyun.com/zh/oss/user-guide/access-and-control/?spm=a2c4g.11186623.0.0.450c482axZlEw9

1702538373_657aac85b5a5f1f073109.png!small?1702538374517

访问OSS的方式

1)通过阿里云控制台访问bucket

2)使用命令行工具ossutil

3)使用图形化管理工具ossbrowser

4)使用阿里云SDK

5)使用REST API

1702538384_657aac90d378ff3a261fe.png!small

OSS域名访问规则

OSS是可以绑定域名访问的,一般遵循下面的规则,以阿


文章来源: https://www.freebuf.com/articles/web/386607.html
如有侵权请联系:admin#unsafe.sh