某系统配置错误泄露百万数据-oss

已于 2023-05-19 16:45:27 修改
阅读量1.4k 收藏
点赞数
分类专栏: 漏洞分享 文章标签: 安全 web安全 网络
于 2023-05-19 16:30:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48950705/article/details/130769249
版权

某系统配置错误泄露百万数据-oss

oss简述

对象存储(OSS)中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。数据检索关键词为key。本漏洞涉及问题点把敏感数据放到了公有桶位置

漏洞描述

泄露大量内部文件、原声音频原件、付费音频、原声视频原件、原创图片,原创书籍电子版原件、身份证件、原创乐谱原件、招商方案等,数量级巨大。这些材料(音频,视频等)没有在任何平台发布过,因属于个人原创。

漏洞详情

此公司把很多敏感信息放在共有桶的位置,可以访问敏感数,这还不是重点,由于业务配置错误,去访问这个公司的cdn服务器时,会把缓存的访问记录直接反馈到前端,直接路径拼接,可以访问文件。
去访问https://xxxx.xxxcdn.com/时
找到五个压缩包
xxxxxx2c3a8a174380e0.csv.gz
xxxxxx5ddcb9b141cf2c3a8a174380e0_1.csv.gz
xxxxxxdcb9b141cf2c3a8a174380e0_2.csv.gz
xxxxxx7a7beacde30cc653.csv.gz
xxxxxx147a7beacde30cc653_1.csv.gz
这五个文件时服务器日志,下载下来解压,会泄露很多绝对路径,拼接路径造成大量文件泄露,用一个压缩日志进行漏洞证明。
在这里插入图片描述

文件解压,可以看到日志文件储存信息很多。
在这里插入图片描述
日志记录如下,存在路径,拼接路径,即可访问文件。
在这里插入图片描述
我们统计一份日志泄露的数据数量级,如下图所示,可以看到585w
在这里插入图片描述

懒夏0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次文件上传引发的OSS_ACCESS_KEY泄露
千寻的博客
01-16 688
* 由于是教育系统,可以进行`任意用户注册`; * 由于在身份认证的模块,可以进行`文件上传`,`返回数据包`中泄露`OSS_ACCESS_KEY`; * 通过图形化管理工具`ossbrowser`,进行管理,进一步发现`信息泄露`.
记一次文件上传泄露OSS密钥
千寻的博客
12-19 825
*网站做了站库分离,上传的文件存储到阿里云的OSS上;由于未对服务器返回的数据内容进行严格的校验,导致返回OSS密钥
OSS accessKey的信息泄露安全问题
weixin_50464560的博客
08-21 2021
1、找到一个上传文件处的地方进行burp抓包 上传文件请求包如下 返回包如下 可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是OSS的AccessKeyId和AccessKeySecret,后面还有个bucket字段 所以这里打开OSS Browser进行相应的泄露信息的利用 总结: 需要利用到的条件有四个: 1、AccessKeyId OSS账号 2、AccessKeySec.
系统配置错误泄露百万数据-oss_oss敏感信息泄露(1),拥有百万粉丝的大牛讲述学网络安全的历程
2401_84264244的博客
04-11 626
对象存储(OSS)中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。泄露大量内部文件、原声音频原件、付费音频、原声视频原件、原创图片,原创书籍电子版原件、身份证件、原创乐谱原件、招商方案等,数量级巨大。此公司把很多敏感信息放在共有桶的位置,可以访问敏感数,这还不是重点,由于业务配置错误,去访问这个公司的cdn服务器时,会把缓存的访问记录直接反馈到前端,直接路径拼接,可以访问文件。吐槽、大厂内推、面试辅导),让我们一起学习成长!
OSS AccessKey泄露引发的思考
10-29 2293
什么是OSS?对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性...
阿里云OSS存储Bucket 劫持漏洞
weixin_50464560的博客
08-21 6273
找目标实战fofa指纹提供两个精准检索:body="NoSuchBucket" && body="BucketName" && body="aliyuncs.com"粗略检索:body="NoSuchBucket" && body="BucketName" 劫持利用环节随机挑选 访问xxx.com提示 NoSuchBucket 这里主要获取oversea-loan.oss-ap-southeast-5.ali
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 2503
阿里云OSS对象存储Bucket 劫持漏洞复现
系统配置错误泄露百万数据-oss_oss敏感信息泄露,2024年最新网络安全高级工程师每日面试题精选
2401_84264244的博客
04-11 722
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
系统配置错误泄露百万数据-oss_oss敏感信息泄露,1307页字节跳动网络安全面试全套真题解析火了
2401_83620690的博客
04-16 303
此公司把很多敏感信息放在共有桶的位置,可以访问敏感数,这还不是重点,由于业务配置错误,去访问这个公司的cdn服务器时,会把缓存的访问记录直接反馈到前端,直接路径拼接,可以访问文件。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
aliyun-sdk-oss-2.8.3.jar
01-10
aliyun-sdk-oss-2.8.3.jar
aliyun-sdk-oss-2.5.0-API文档-中英对照版.zip
04-08
赠送jar包:aliyun-sdk-oss-2.5.0.jar; 赠送原API文档:aliyun-sdk-oss-2.5.0-javadoc.jar; 赠送源代码:aliyun-sdk-oss-2.5.0-sources.jar; 包含翻译后的API文档:aliyun-sdk-oss-2.5.0-javadoc-API文档-中文...
aliyun-sdk-oss-3.1.0.jar
01-10
aliyun-sdk-oss-3.1.0.jar
nexus3-oss:安装和配置sonatype nexus3-oss的角色
01-31
角色扮演:Nexus 3 OSS 该角色将安装并配置Nexus Repository Manager OSS版本3.x。 可以通过重新运行角色来更新所有配置,但与相关的设置除外,它们在关系中是不变的。目录注意:从ansible星系站点查看时,TOC链接将...
aliyun-sdk-oss-3.11.2-API文档-中文版.zip
07-14
赠送jar包:aliyun-sdk-oss-3.11.2.jar; 赠送原API文档:aliyun-sdk-oss-3.11.2-javadoc.jar; 赠送源代码:aliyun-sdk-oss-3.11.2-sources.jar; 赠送Maven依赖信息文件:aliyun-sdk-oss-3.11.2.pom; 包含翻译后...
漫谈企业信息化安全 - 零信任架构
SplashtopLoki的博客
05-27 1201
SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 277
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
掌控安全CTF-2024年5月擂台赛-WP(部分)
ASD830的博客
05-27 1125
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。
vue-ali-oss配置请求头
09-06
对于Vue项目中使用阿里云OSS进行文件上传,可以通过配置请求头来实现。下面是一个简单的示例: 1. 首先,需要安装 `ali-oss` 库。可以使用命令 `npm install ali-oss --save` 进行安装。 2. 在Vue项目的配置文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值