雲上寶庫:三大廠商物件儲存安全性及差異性比較

蚁景网安实验室發表於2024-06-19
物件

前言

看了幾家雲廠商的物件儲存,使用上有相似也有差異,聊聊阿里雲、騰訊雲、京東雲三家物件儲存在使用中存在的風險以及防護措施。

0x01 雲端儲存命名

阿里雲物件儲存OSS(Object Storage Service),新使用者免費試用三個月,儲存包容量規格20G三個月.

騰訊雲物件儲存 COS(Cloud Object Storage),新使用者標準儲存容量包,有效期6個月(180天),個人使用者50GB6個月,企業使用者1T六個月。

京東雲物件儲存OSS(Object Storage Service) ,目前無限制,儲存包容量規格10G/月,請求次數50W次/月的標準,低於標準一直免費使用。

0x02 雲端儲存空間建立

阿里雲

image-20240512193643954

建立儲存桶Bucket的名稱唯一設定和地域沒有關係,建立儲存桶後的域名規則為:<BucketName>.oss.<Region>.aliyuncs.com

騰訊雲

image-20240513144431372

騰訊雲建立儲存桶名稱唯一跟低於也無關係,其名稱構成<BucketName-APPID>.cos.<Region>.myqcloud.com

京東雲

image-20240513152914079

京東雲的bucket地域只有四個,命令規則為<BucketName>.s3.<position>-id.jdcloud-oss.com

華北

image-20240513155709451

華東

image-20240513155336913

0x03 雲端儲存API金鑰儲存

阿里雲

進入

image-20240513172737275

離開建立頁面後無法獲取SK,需提前儲存SK,後期無法檢視

image-20240513172848663

這裡使用者許可權需要授權

image-20240513173432220

如果未授權,則Forbiden訪問

image-20240513173531358

騰訊雲

image-20240513210634001

建立AK/SK後期無法查詢,金鑰儲存要求上基本與阿里雲一致。

【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】

 ① 網安學習成長路徑思維導圖
 ② 60+網安經典常用工具包
 ③ 100+SRC漏洞分析報告
 ④ 150+網安攻防實戰技術電子書
 ⑤ 最權威CISSP 認證考試指南+題庫
 ⑥ 超1800頁CTF實戰技巧手冊
 ⑦ 最新網安大廠面試題合集(含答案)
 ⑧ APP客戶端安全檢測指南(安卓+IOS)

京東雲

京東雲需要首先設定AccessKey,否則無法操作儲存桶。

image-20240513145031385

AccessKey建立後可AS檢視

image-20240513152724332

0x04 雲端儲存常見安全問題

1. 配置不當導致的安全問題

阿里雲

image-20240513211508790

阿里雲設定公有讀

image-20240514111818109

儲存桶內的檔案可被讀取,雖然無法直接list物件,但是可以透過爆破的方式讀取檔案內容

image-20240514111928741

當設定包含listobject時,web訪問儲存桶直接可遍歷物件

image-20240514112859254

當Bucket的許可權設定為公共讀寫的時候,是可以直接使用PUT方式上傳檔案到儲存桶內,這種配置會導致桶內檔案來源的真實性無法保證

image-20240514115149558

檔案上傳成功

image-20240514115212417

騰訊雲

騰訊雲的儲存桶許可權和阿里雲類似,描述不同,當非公共讀寫、非私有的條件下是可以遍歷桶內檔案的

image-20240514114502814

儲存桶內的檔案可被讀取,雖然無法直接list物件,但是可以透過爆破的方式讀取檔案內容

image-20240514114412276

公共讀寫許可權配置後可直接上傳

image-20240514115309572

京東雲

京東雲在Bucket的許可權上和阿里、騰訊基本一致,非私有狀態下,也存在Bucket檔案可遍歷

image-20240514120215827

上傳txt

image-20240514120357093

檔案寫入成功

風險

針對配置不當,可能產生的風險在於

  1. 資料洩露: 配置不當可能導致儲存桶中的敏感資料被公開訪問,如使用者個人資訊、敏感檔案等。

  2. 後滲透風險:桶內資料來源的真實性面向使用者無法保障,且對使用者的安全性造成影響,可利用該漏洞進行供應鏈攻擊。

2.策略配置不當導致的安全風險

針對三家廠商的儲存桶,阿里雲bucket授權策略

image-20240514133724803

騰訊雲Policy策略

image-20240514133853633

這兩家比較類似

京東雲CORS跨域規則

image-20240514134050515

規則新增簡單測試還是比較友好的

風險

規則配置可能會導致儲存桶敏感檔案洩露,比如說規則設定新增遍歷儲存桶物件等。

3.儲存桶爆破

阿里雲

阿里雲針對儲存桶的回顯返回值不同

image-20240514131547945

無Bucket

image-20240514131635390

騰訊雲

騰訊雲的回顯

image-20240514131742948

京東雲

image-20240514131820434

風險

雖然三家的產品根據回顯值均可以爆破,如果從利用角度來講,需要配合前面的配置不當才能繼續後滲透,從爆破的角度來講,騰訊雲的域名構成<BucketName-APPID>.cos.<Region>.myqcloud.com的爆破儲存桶的風險可以說是最低的,甚至可以說基本上不用考慮。目前下載大量的儲存桶在業務中的應用可能最常見的是圖片檔案雲端儲存利用,一般是不設定域名繫結儲存桶的。

4.AK/SK洩露

AK 和 SK 洩露可能被惡意使用者用於未經授權的訪問雲服務資源,導致資料洩露、篡改或刪除等安全問題。針對不同廠商目前有工具可直接利用洩露的AK/SK接管儲存桶。

針對不同廠商物件儲存AK/SK的建立使用者的許可權劃風險需要注意

阿里雲RAM訪問控制

image-20240514134954850

騰訊雲使用者訪問管理許可權分配

image-20240514135434869

image-20240514135620062

京東雲

image-20240514135733252

使用者授權

image-20240514135849391

使用者許可權配置不當,會導致雲服務被完全接管。

0x05 雲端儲存防護

  1. 加強身份驗證和訪問控制: 使用身份和訪問管理(IAM)來限制對儲存桶和其中物件的訪問。確保只有授權的使用者或服務能夠訪問,並嚴格控制他們的許可權,採用最小許可權原則。

  2. 加密資料: 對於敏感資料,採用適當的加密措施,包括資料在傳輸和靜態儲存時的加密。

  3. 網路安全配置: 配置網路安全組、防火牆等措施,限制對儲存桶的訪問僅來自可信來源,減少公開訪問的風險。

  4. 監控和日誌記錄: 設定監控警報,對儲存桶的訪問和活動進行實時監控,並記錄審計日誌,以便及時發現異常行為或潛在的安全威脅。

  5. 定期備份和恢復: 定期備份儲存桶中的重要資料,並建立有效的恢復計劃,以防止資料丟失或損壞,例如意外刪除或勒索軟體攻擊。

  6. 防止公開訪問誤配置: 定期審查儲存桶的訪問許可權配置,確保沒有意外的公開訪問許可權,避免因配置錯誤導致資料洩露的風險。

  7. 實施訪問限制策略: 使用 IP 白名單或訪問令牌等策略,限制儲存桶的訪問僅限於授權的使用者或系統。


更多網安技能的線上實操練習,請點選這裡>>

相關文章