原文首发在:奇安信攻防社区https://forum.butian.net/share/4340什么是存储桶 想象存储桶就像你家里的一个大柜子,专门用来存放各种物品(文件)。在阿里云对象存储服务(OS...
CBLD云存储桶利用工具的使用与实战
文章首发于:火线Zone社区(https://zone.huoxian.cn/)CBLD名字乱写的,我自己都没想好这个工具叫什么名字,如果有好想法的时候可以在Issue中提出。目录概要0x00 前言关...
仿冒奇安信证书!针对区块链客户的定向攻击活动
概述奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户,恶意的压缩包为“转账截图2025.5.31.zip”,攻击者通过 Telagram 通信软件一对一进行...
桶文件覆盖之谷歌语法显神功
进入某SRC的某站点后,发现一个文件上传功能点,可以上传jpg,png,pdf,doc,gif等文件,任意上传了一个1.gif文件发现返回的储存桶文件名还是1.gif,没有对文件名加时间戳处理或者进行...
实战某社交APP | 利用SDK构造OSS文件上传漏洞
市面上的社交APP非常多,有某个社交APP,存在文件上传头像的功能。 APP此时想要上传,肯定会打开相册,但是相册里的都是图片,我们想自定义后缀是没办法的。 此时可以直接采用burp抓包,...
分享云安全浪潮src漏洞挖掘技巧
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈...
OSS漏洞检测工具
前言以前总结过OSS可能存在的安全问题,本次找到了一个可以自动化检测的工具分享一下。Cloud-Bucket-Leak-Detection-Toolsgithub地址https://github.co...
存储桶OSS一键遍历
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢!文章有疑问的,可以公众号发消息...
OSS 签名绕过上传任意文件到别人的网站
OSS 的签名直传签名一般长这样{ "accessid": "MlLTAI5Zt...", "host": "https://oss-cn-shanghai.aliyuncs.com", ...
【攻防对抗】外网打点代码审计+内网深信服EDR绕过的案例
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.前言 在某次攻防中,目标是某学校但是通过外围打点没有撕开口...
如何开展云上数据存储架构设计
设计并实施云上数据存储架构需要综合考虑数据的安全性、可用性、性能、成本以及合规性要求。以下是一个分阶段的实施框架,结合最佳实践和行业标准,涵盖架构设计、技术选型、安全控制及运维管理。一、需求分析与规划...
渗透实战 | 阿里云OSS存储桶的遍历
原先在测一个站时通过阿里云存储桶地址无法通过工具直接遍历,感觉应该是oss的域名地址不对或者做了变更,当时暂时也没发现更改后的oss地址流量,bp后面再访问时也是抓到了新的oss地址直接将22年以前上...