前言
看了幾家雲廠商的物件儲存,使用上有相似也有差異,聊聊阿里雲、騰訊雲、京東雲三家物件儲存在使用中存在的風險以及防護措施。
0x01 雲端儲存命名
阿里雲物件儲存OSS(Object Storage Service),新使用者免費試用三個月,儲存包容量規格20G三個月.
騰訊雲物件儲存 COS(Cloud Object Storage),新使用者標準儲存容量包,有效期6個月(180天),個人使用者50GB6個月,企業使用者1T六個月。
京東雲物件儲存OSS(Object Storage Service) ,目前無限制,儲存包容量規格10G/月,請求次數50W次/月的標準,低於標準一直免費使用。
0x02 雲端儲存空間建立
阿里雲
建立儲存桶Bucket的名稱唯一設定和地域沒有關係,建立儲存桶後的域名規則為:<BucketName>.oss.<Region>.aliyuncs.com
騰訊雲
騰訊雲建立儲存桶名稱唯一跟低於也無關係,其名稱構成<BucketName-APPID>.cos.<Region>.myqcloud.com
京東雲
京東雲的bucket地域只有四個,命令規則為<BucketName>.s3.<position>-id.jdcloud-oss.com
華北
華東
0x03 雲端儲存API金鑰儲存
阿里雲
進入
離開建立頁面後無法獲取SK,需提前儲存SK,後期無法檢視
這裡使用者許可權需要授權
如果未授權,則Forbiden訪問
騰訊雲
建立AK/SK後期無法查詢,金鑰儲存要求上基本與阿里雲一致。
【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
京東雲
京東雲需要首先設定AccessKey,否則無法操作儲存桶。
AccessKey建立後可AS檢視
0x04 雲端儲存常見安全問題
1. 配置不當導致的安全問題
阿里雲
阿里雲設定公有讀
儲存桶內的檔案可被讀取,雖然無法直接list物件,但是可以透過爆破的方式讀取檔案內容
當設定包含listobject時,web訪問儲存桶直接可遍歷物件
當Bucket的許可權設定為公共讀寫的時候,是可以直接使用PUT方式上傳檔案到儲存桶內,這種配置會導致桶內檔案來源的真實性無法保證
檔案上傳成功
騰訊雲
騰訊雲的儲存桶許可權和阿里雲類似,描述不同,當非公共讀寫、非私有的條件下是可以遍歷桶內檔案的
儲存桶內的檔案可被讀取,雖然無法直接list物件,但是可以透過爆破的方式讀取檔案內容
公共讀寫許可權配置後可直接上傳
京東雲
京東雲在Bucket的許可權上和阿里、騰訊基本一致,非私有狀態下,也存在Bucket檔案可遍歷
上傳txt
檔案寫入成功
風險
針對配置不當,可能產生的風險在於
-
資料洩露: 配置不當可能導致儲存桶中的敏感資料被公開訪問,如使用者個人資訊、敏感檔案等。
-
後滲透風險:桶內資料來源的真實性面向使用者無法保障,且對使用者的安全性造成影響,可利用該漏洞進行供應鏈攻擊。
2.策略配置不當導致的安全風險
針對三家廠商的儲存桶,阿里雲bucket授權策略
騰訊雲Policy策略
這兩家比較類似
京東雲CORS跨域規則
規則新增簡單測試還是比較友好的
風險
規則配置可能會導致儲存桶敏感檔案洩露,比如說規則設定新增遍歷儲存桶物件等。
3.儲存桶爆破
阿里雲
阿里雲針對儲存桶的回顯返回值不同
無Bucket
騰訊雲
騰訊雲的回顯
京東雲
風險
雖然三家的產品根據回顯值均可以爆破,如果從利用角度來講,需要配合前面的配置不當才能繼續後滲透,從爆破的角度來講,騰訊雲的域名構成<BucketName-APPID>.cos.<Region>.myqcloud.com
的爆破儲存桶的風險可以說是最低的,甚至可以說基本上不用考慮。目前下載大量的儲存桶在業務中的應用可能最常見的是圖片檔案雲端儲存利用,一般是不設定域名繫結儲存桶的。
4.AK/SK洩露
AK 和 SK 洩露可能被惡意使用者用於未經授權的訪問雲服務資源,導致資料洩露、篡改或刪除等安全問題。針對不同廠商目前有工具可直接利用洩露的AK/SK接管儲存桶。
針對不同廠商物件儲存AK/SK的建立使用者的許可權劃風險需要注意
阿里雲RAM訪問控制
騰訊雲使用者訪問管理許可權分配
京東雲
使用者授權
使用者許可權配置不當,會導致雲服務被完全接管。
0x05 雲端儲存防護
-
加強身份驗證和訪問控制: 使用身份和訪問管理(IAM)來限制對儲存桶和其中物件的訪問。確保只有授權的使用者或服務能夠訪問,並嚴格控制他們的許可權,採用最小許可權原則。
-
加密資料: 對於敏感資料,採用適當的加密措施,包括資料在傳輸和靜態儲存時的加密。
-
網路安全配置: 配置網路安全組、防火牆等措施,限制對儲存桶的訪問僅來自可信來源,減少公開訪問的風險。
-
監控和日誌記錄: 設定監控警報,對儲存桶的訪問和活動進行實時監控,並記錄審計日誌,以便及時發現異常行為或潛在的安全威脅。
-
定期備份和恢復: 定期備份儲存桶中的重要資料,並建立有效的恢復計劃,以防止資料丟失或損壞,例如意外刪除或勒索軟體攻擊。
-
防止公開訪問誤配置: 定期審查儲存桶的訪問許可權配置,確保沒有意外的公開訪問許可權,避免因配置錯誤導致資料洩露的風險。
-
實施訪問限制策略: 使用 IP 白名單或訪問令牌等策略,限制儲存桶的訪問僅限於授權的使用者或系統。
更多網安技能的線上實操練習,請點選這裡>>