对于非结构化的数据存储系统来说,LIST 操作通常都是非常重量级的,不仅占用大量的 磁盘 IO、网络带宽和 CPU,而且会影响同时间段的其他请求(尤其是响应延迟要求极高的 选主请求),是集群稳定性的一...
常见的安全错误配置及其后果
在网络安全世界里,错误的配置可能会产生各种各样的可利用漏洞,本文就让我们来看看几个常见的安全错误配置。首先是开发权限,当某些东西投入使用时它不会被改变。例如,AWS S3 bucket在开发过程中经常...
Terraform 使用入门以及在云上攻防中的作用
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x00 前言Terraform 是一种资源编排工具,通过它可以很方便的去构建云服务资源,本文将以「在腾讯云上创建一个 ...
【阿里云控制台云镜像制作】
来源:广西南宁平衡信息技术有限公司一、简介 阿里云ECS 自定义镜像是 ECS 实例系统盘某一时刻的快照,...
十三天精通超大规模分布式存储系统架构设计——浅谈B站对象存储(BOSS)实现(上)
本期作者司春峰哔哩哔哩技术专家负责B站对象存储、NoSQL、数据传输、数据库代理等方向的研发工作,致力于提供稳定可靠高性能的存储服务。背景BLOB(binary large object)存储,通常也...
【云安全】华为云 OBS 对象存储攻防
文章首发于:火线Zone社区(https://zone.huoxian.cn/)前言:其实华为云和其他云的攻防利用方式大同小异,师傅们可以对照着前几篇云安全对象存储攻防文章享用。UzJu——阿里云 O...
巧用对象存储回源绕过SSRF限制
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x01 前言笔者之前在Web漏洞挖掘指南 -SSRF服务器端请求伪造介绍了SSRF某些场景下的利用和绕过方法,有时开发...
【云安全】腾讯云COS对象存储攻防
文章首发于:火线Zone社区(https://zone.huoxian.cn/)01 Bucket 公开访问腾讯云存储桶的访问权限默认为私有读写权限,且存储桶名称会带上一串时间戳:账户中的访...
【SRC挖洞经验】Amazon S3 Bucket桶接管教程
在挖掘HackerOne过程中会经常遇到Bucket桶接管漏洞,Amazon 的桶是最多的有些网站访问是这样,也可能是其他页面,nuclei扫描出来会提示 存在Bucket 接管漏洞漏洞利用使用 di...
渗透测试之劫持国外某云BucketName
首发先知社区 链接:https://xz.aliyun.com/t/10050好兄弟写的,求有账号的师傅点赞 0. 起...
阿里云OSS对象存储Bucket 劫持漏洞复现
对象存储OSS阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云存储服务,提供99.9999999999%(12个9)的数据持久性,99.995%...
通过OSS浏览器劫持阿里云Bucket
前言 本文主要对国内主流的阿里云Bucket劫持利用姿势进行总结,漏洞原理在《劫持亚马逊S3 Bucket》一文中已经分析的很透彻了,这里就不再赘述,链接如下:https://articles.zsx...
6