文章讨论了云服务中OSS(对象存储服务)使用STS(安全认证服务)进行授权的问题。通过STS,可以在不暴露主账号AK/SK的情况下提供临时访问权限。然而,发现一个网站在前端JavaScript中暴露了临时的AK/SK和STSToken,允许临时用户访问OSS。尽管STS令牌有时间限制,但攻击者仍能在有效期内控制存储桶。建议对STS角色进行精确授权,限制访问路径,以提高安全性。
OSS的STS模式授权
某云提供的权限管理系统主要包含两部分,RAM(资源访问管理)和STS(安全认证服务),以满足不暴露主账号AK\SK的情况下安全的授权别人访问的需求,STS提供的是一种临时访问授权。通过STS可以返回临时的AK\SK和STSToken,这些信息可以直接发给临时用户用来访问OSS。
发现OSS功
打开网站(https://xxx.cn/)插件提示存在密钥凭据
访问对应js查看,使用的云REACT前台上传功能
https://xxx.cn/static/js/main.68c9e34c.js
格式化分析,无法获取bucket相关详细信息
断点js文件获取ak、sk
通过异步js流量扫描工具发现了accesskeyid关键字
对应文件查看,明显是bucket功能
浏览器f12找一下源码位置,发现是阿里云oss,断点代码,使用网页上传功能触发
获取到ak、sk核ststoken信息
STS模式访问
虽然STS模式下accessKeyId、accessKeySecret和stsToken都是会变化的,但在有效期内(约3~5分钟)我们仍然可以接管对应的存储桶
根路径浏览,可以看到主要为广州、杭州和深圳的云存储
访问多个子文件夹成功,网站部署系统还是蛮大的
测试下载,成功
最后尝试扫一下云主机,什么也没有。
因为是STS模式访问,到此为止。
修复建议
对STS模式的角色如“oss-admin”,进行精确授权,仅允许访问上传路径
1656
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
