某系统配置错误泄露百万数据-oss
oss简述
对象存储(OSS)中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。数据检索关键词为key。本漏洞涉及问题点把敏感数据放到了公有桶位置
漏洞描述
泄露大量内部文件、原声音频原件、付费音频、原声视频原件、原创图片,原创书籍电子版原件、身份证件、原创乐谱原件、招商方案等,数量级巨大。这些材料(音频,视频等)没有在任何平台发布过,因属于个人原创。
漏洞详情
此公司把很多敏感信息放在共有桶的位置,可以访问敏感数,这还不是重点,由于业务配置错误,去访问这个公司的cdn服务器时,会把缓存的访问记录直接反馈到前端,直接路径拼接,可以访问文件。
去访问https://xxxx.xxxcdn.com/时
找到五个压缩包
xxxxxx2c3a8a174380e0.csv.gz
xxxxxx5ddcb9b141cf2c3a8a174380e0_1.csv.gz
xxxxxxdcb9b141cf2c3a8a174380e0_2.csv.gz
xxxxxx7a7beacde30cc653.csv.gz
xxxxxx147a7beacde30cc653_1.csv.gz
这五个文件时服务器日志,下载下来解压,会泄露很多绝对路径,拼接路径造成大量文件泄露,用一个压缩日志进行漏洞证明。
文件解压,可以看到日志文件储存信息很多。
日志记录如下,存在路径,拼接路径,即可访问文件。
我们统计一份日志泄露的数据数量级,如下图所示,可以看到585w