2025/01/10 星期五
晴·西风3级
//01 前言
在前几日的日常工作中,发现了OSS存储桶遍历漏洞。平时对着这漏洞都属于忽略状态,可能也会随便看看有什么泄露的敏感文档之类的,因为其本身无法造成很严重的漏洞,如果是渗透测试的话凑凑报告可以写一下OSS存储桶相关的漏洞。然而事实就是一个平平无奇的OSS存储桶遍历漏洞,却创造了一个包含大量敏感信息的高危漏洞,导致我考虑是不是以前碰到的这种漏洞,也因为文件太多懒得挨个去看忽略了什么呢?
//02 OSS对象存储服务
对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性扩展,多种存储类型供选择,全面优化存储成本。对象存储以对象为基本存储单元,将数据作为对象进行管理和存储。每个对象都有一个唯一的访问地址,这使得数据的访问和管理变得高效且灵活。对象存储不仅支持任意大小的文件存储,包括文本文件、图片、音视频文件等,还具备无目录层次结构、无数据格式限制的特点。
//03 OSS存储桶遍历漏洞
//04 总结
本文讲述了OSS存储桶遍历漏洞在一些情况下,存储的docx文件、xlsx文件、pdf文件、jpg文件中会存在一些惊喜。所以遇到OSS存储桶遍历漏洞还是要使用工具将所有文件路径遍历到本地筛选查看,不要因为文件太多懒得挨个去看而忽略一些东西。
END
原文始发于微信公众号(剁椒Muyou鱼头):【技术分享】不容小覤的OSS存储桶遍历漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论