一、前言 1.最近在火线里面发现了大量关于oss攻防的文章,看了很有帮助,这里贡献一个关于oss攻防的另外一种姿势 二、漏洞复现 1、我们可以利用搜索引擎/fofa/hunter去搜索存在Bucket Object 遍历的oss 但是当我们打开时会发现漏洞已经被修复 2、转换一下思路既然无法遍历key但是原来的文件是否还存在呢。这时候我们可以利用搜索引擎的快照功能去搜索key 3.会发现快照里面存储了一些以前暴露的文件,我们利用这些暴露的跟oss进行拼接即可获取到文件
学到了学到了!!!
