京东云OSS攻防

京东云对象存储（OSS，Object Storage Service）是京东自研的存储海量数据的分布式存储服务，可存储音视频、图文等非结构化的海量数据，无容量限制，无格式限制，管理高效便捷，存储成本智能优化。

免费额度

目前没有截止时间，每月只要额度低于标准，新规则出来之前是可以一直试用的。

余额需大于100

不过可设置余额提醒

羊毛还是可以薅的

需先创建AK

AccessKey管理创建AK

京东云的AK创建之后SK是可以查看的，这是跟腾讯云COS和阿里OSS不一样的。

进入控制台，Object管理可控制文件管理，上传图片JD1.png，创建文件夹“file”

公有读私有写----目录遍历

当Bucket设置权限公有读私有写时，无访问策略的条件下，访问Bucket的权限为403，但是可导致Bucket文件遍历

可直接读取桶内文件

公有读写----文件上传

• 任意文件上传

利用Bucket的共有写可直接上传文件，当上传文件为XSS页面，访问桶内数据的用户下载恶意文件，会导致用户的安全风险增加。

文件上传成功

下载完成打开后弹窗

自定义策略----Bucket遍历

当指定策略为可listobject时，可实现存储桶遍历

当AK/SK泄露时

可直接接管OSS存储桶

OSS利用工具参考

https://github.com/dark-kingA/cloudTools

• AK/SK的管理

目前来说阿里云和腾讯云的AK和SK的管理和存储来说相对于JD云来说更加安全，因为京东OSS的SK是可以随时查看。

• 权限管理

京东云对于存储对象的权限管理操作起来相较阿里云来说比较容易。

• 策略

对于访问策略的配置来讲，京东云应该是相对于阿里等大厂来说最容易上手的。

• Bucket 访问权限控制：

  可以通过 Bucket 级别的访问控制策略来限制用户的访问权限。可以设置公有 Bucket 或私有 Bucket，并针对不同类型的角色和用户分配不同的 Access Key、Secret Key，从而确保只有授权用户才能访问 Bucket 数据。

• 用户身份验证：

  京东云 OSS 支持基于 IAM 的用户身份验证功能，将访问 Bucket 的用户分组并进行身份验证，增加对 Bucket 的访问控制和管理效果。

• 数据传输加密：

  京东云的基础设置中也存在默认加密功能，可以对存储空间设置默认加密，从而对其中默认加密生效期间存储的对象进行服务器端加密。这些对象使用京东云的KMS(Key Management System) 托管密钥 (SSE-KMS) 在服务器端进行加密，按需付费使用。

在数据传输过程中，可以使用 HTTPS 协议对数据进行加密，确保数据在传输过程中不会被篡改或窃取。

• cookie/session防盗：

  京东云 OSS相较其它云厂商比较特殊就是用户身份授权后浏览器存储的校验信息失效时间是长于48小时的。

原文始发于微信公众号（神农Sec）：京东云OSS攻防