0x01 关于京东云OSS
京东云对象存储(OSS,Object Storage Service)是京东自研的存储海量数据的分布式存储服务,可存储音视频、图文等非结构化的海量数据,无容量限制,无格式限制,管理高效便捷,存储成本智能优化。
免费额度
目前没有截止时间,每月只要额度低于标准,新规则出来之前是可以一直试用的。
余额需大于100
不过可设置余额提醒
羊毛还是可以薅的
0x02 创建存储桶
需先创建AK
AccessKey管理创建AK
京东云的AK创建之后SK是可以查看的,这是跟腾讯云COS和阿里OSS不一样的。
进入控制台,Object管理可控制文件管理,上传图片JD1.png,创建文件夹“file”
0x03 Bucket权限配置不当-信息泄露
公有读私有写----目录遍历
当Bucket设置权限公有读私有写时,无访问策略的条件下,访问Bucket的权限为403,但是可导致Bucket文件遍历
可直接读取桶内文件
公有读写----文件上传
利用Bucket的共有写可直接上传文件,当上传文件为XSS页面,访问桶内数据的用户下载恶意文件,会导致用户的安全风险增加。
文件上传成功
下载完成打开后弹窗
自定义策略----Bucket遍历
当指定策略为可listobject时,可实现存储桶遍历
0x04 AK/SK泄露
当AK/SK泄露时
可直接接管OSS存储桶
OSS利用工具参考
0x05 谈一谈感受
目前来说阿里云和腾讯云的AK和SK的管理和存储来说相对于JD云来说更加安全,因为京东OSS的SK是可以随时查看。
京东云对于存储对象的权限管理操作起来相较阿里云来说比较容易。
对于访问策略的配置来讲,京东云应该是相对于阿里等大厂来说最容易上手的。
0x06 京东云OSS存储利用防护
Bucket 访问权限控制:
可以通过 Bucket 级别的访问控制策略来限制用户的访问权限。可以设置公有 Bucket 或私有 Bucket,并针对不同类型的角色和用户分配不同的 Access Key、Secret Key,从而确保只有授权用户才能访问 Bucket 数据。
用户身份验证:
京东云 OSS 支持基于 IAM 的用户身份验证功能,将访问 Bucket 的用户分组并进行身份验证,增加对 Bucket 的访问控制和管理效果。
数据传输加密:
京东云的基础设置中也存在默认加密功能,可以对存储空间设置默认加密,从而对其中默认加密生效期间存储的对象进行服务器端加密。这些对象使用京东云的KMS(Key Management System) 托管密钥 (SSE-KMS) 在服务器端进行加密,按需付费使用。
在数据传输过程中,可以使用 HTTPS 协议对数据进行加密,确保数据在传输过程中不会被篡改或窃取。
