云上宝库：三大厂商对象存储安全性及差异性比较

前言

看了几家云厂商的对象存储，使用上有相似也有差异，聊聊阿里云、腾讯云、京东云三家对象存储在使用中存在的风险以及防护措施。
0x01 云存储命名

阿里云对象存储OSS(Object Storage Service)，新用户免费试用三个月，存储包涵量规格20G三个月.
腾讯云对象存储 COS（Cloud Object Storage），新用户标准存储容量包，有效期6个月（180天），个人用户50GB6个月，企业用户1T六个月。
京东云对象存储OSS（Object Storage Service） ，如今无穷制，存储包涵量规格10G/月，哀求次数50W次/月的标准，低于标准不停免费使用。
0x02 云存储空间创建

阿里云

[img=720,352.953]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545798.png[/img]

创建存储桶Bucket的名称唯一设置和地域没有关系，创建存储桶后的域名规则为：.oss..aliyuncs.com
腾讯云

[img=720,486.06498194945846]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545799.png[/img]

腾讯云创建存储桶名称唯一跟低于也无关系，其名称构成.cos..myqcloud.com
京东云

[img=720,494.4]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545800.png[/img]

京东云的bucket地域只有四个，命令规则为.s3.-id.jdcloud-oss.com
华北

[img=720,63.64335126825519]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545801.png[/img]

华东

[img=720,103.09992132179386]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545802.png[/img]

0x03 云存储API密钥存储

阿里云
进入

[img=720,202.34083601286173]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545804.png[/img]

脱离创建页面后无法获取SK，需提宿世存SK，后期无法查看

[img=720,134.17322834645668]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545805.png[/img]

这里用户权限需要授权

如果未授权，则Forbiden访问

腾讯云

[img=720,225.49058473736372]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545808.png[/img]

创建AK/SK后期无法查询，密钥存储要求上基本与阿里云一致。
【----资助网安学习，以下全部学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径头脑导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技能电子书
　⑤ 最权威CISSP 认证测验指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
京东云
京东云需要首先设置AccessKey，否则无法操作存储桶。

[img=720,160.05947955390334]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545809.png[/img]

AccessKey创建后可AS查看

[img=720,176.3819095477387]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545810.png[/img]

0x04 云存储常见安全标题

1. 设置不当导致的安全标题

阿里云

[img=720,504.6101694915254]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545811.png[/img]

阿里云设置公有读

[img=720,349.8181818181818]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545812.png[/img]

存储桶内的文件可被读取，虽然无法直接list对象，但是可以通过爆破的方式读取文件内容

[img=720,70.18232819074333]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545813.png[/img]

当设置包罗listobject时，web访问存储桶直接可遍历对象

[img=720,393.100081366965]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545814.png[/img]

当Bucket的权限设置为公共读写的时候，是可以直接使用PUT方式上传文件到存储桶内，这种设置会导致桶内文件来源的真实性无法保证

[img=720,263.8167938931298]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545815.png[/img]

文件上传成功

[img=720,202.41153342070774]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545816.png[/img]

腾讯云
腾讯云的存储桶权限和阿里云类似，描述差别，当非公共读写、非私有的条件下是可以遍历桶内文件的

存储桶内的文件可被读取，虽然无法直接list对象，但是可以通过爆破的方式读取文件内容

[img=720,75.17647058823529]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545818.png[/img]

公共读写权限设置后可直接上传

[img=720,226.62480376766092]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545819.png[/img]

京东云
京东云在Bucket的权限上和阿里、腾讯基本一致，非私有状态下，也存在Bucket文件可遍历

[img=720,339.59780621572213]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545820.png[/img]

上传txt

[img=720,251.63408913213448]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545822.png[/img]

文件写入成功
风险

针对设置不当，大概产生的风险在于

• 数据泄漏： 设置不当大概导致存储桶中的敏感数据被公开访问，如用户个人信息、敏感文件等。
  
• 后渗出风险：桶内数据来源的真实性面向用户无法保障，且对用户的安全性造成影响，可利用该漏洞举行供应链攻击。
  

2.策略设置不当导致的安全风险

针对三家厂商的存储桶，阿里云bucket授权策略

[img=720,418.7021630615641]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545823.png[/img]

腾讯云Policy策略

[img=720,444.75949367088606]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545824.png[/img]

这两家比较类似
京东云CORS跨域规则

[img=720,492.63157894736844]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545825.png[/img]

规则添加简单测试还是比较友爱的
风险

规则设置大概会导致存储桶敏感文件泄漏，比如说规则设置添加遍历存储桶对象等。
3.存储桶爆破

阿里云
阿里云针对存储桶的回显返回值差别

[img=720,388.47870182555783]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545826.png[/img]

无Bucket

[img=720,274.62295081967216]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545827.png[/img]

腾讯云
腾讯云的回显

[img=720,222.0050547598989]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545828.png[/img]

京东云

[img=720,279.0082644628099]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545829.png[/img]

风险

虽然三家的产物根据回显值均可以爆破，如果从利用角度来讲，需要配合前面的设置不当才能继续后渗出，从爆破的角度来讲，腾讯云的域名构成.cos..myqcloud.com的爆破存储桶的风险可以说是最低的，乃至可以说基本上不消考虑。如今下载大量的存储桶在业务中的应用大概最常见的是图片文件云存储利用，一般是不设置域名绑定存储桶的。
4.AK/SK泄漏

AK 和 SK 泄漏大概被恶意用户用于未经授权的访问云服务资源，导致数据泄漏、篡改或删除等安全标题。针对差别厂商如今有工具可直接利用泄漏的AK/SK接管存储桶。
针对差别厂商对象存储AK/SK的创建用户的权限划风险需要注意
阿里云RAM访问控制

[img=720,352.21374045801525]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545830.png[/img]

腾讯云用户访问管理权限分配

[img=720,213.90697674418604]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545831.png[/img]

[img=720,328.8045540796964]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545832.png[/img]

京东云

[img=720,330.1587301587302]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545833.png[/img]

用户授权

[img=720,334.2457231726283]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202406191545834.png[/img]

用户权限设置不当，会导致云服务被完全接管。
0x05 云存储防护

• 加强身份验证和访问控制： 使用身份和访问管理（IAM）来限定对存储桶和其中对象的访问。确保只有授权的用户或服务能够访问，并严格控制他们的权限，接纳最小权限原则。
  
• 加密数据： 对于敏感数据，接纳适当的加密措施，包括数据在传输和静态存储时的加密。
  
• 网络安全设置： 设置网络安全组、防火墙等措施，限定对存储桶的访问仅来自可信来源，淘汰公开访问的风险。
  
• 监控和日志记录： 设置监控警报，对存储桶的访问和活动举行及时监控，并记录审计日志，以便及时发现非常行为或潜在的安全威胁。
  
• 定期备份和恢复： 定期备份存储桶中的重要数据，并建立有效的恢复计划，以防止数据丢失或破坏，比方意外删除或勒索软件攻击。
  
• 防止公开访问误设置： 定期审查存储桶的访问权限设置，确保没有意外的公开访问权限，避免因设置错误导致数据泄漏的风险。
  
• 实施访问限定策略： 使用 IP 白名单或访问令牌等策略，限定存储桶的访问仅限于授权的用户或系统。
  

更多网安技能的在线实操练习，请点击这里>>
   

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。