文章总结： 本文系统分析云存储安全漏洞挖掘思路，重点阐述对象存储配置错误导致的四类高危漏洞：存储桶任意文件读取、STS权限过大引发存储桶接管、AK/SK泄露、任意文件覆盖。通过阿里云OSS等实际案例演示漏洞成因与利用方法，并给出将存储桶设为私有等修复建议。文章提供具体攻击代码和工具使用指引，具备较强实战指导价值。 综合评分： 82 文章分类： 云安全,漏洞分析,渗透测试,WEB安全,安全工具

具体使用方法可以查看官方文档：https://help.aliyun.com/zh/oss/

PART 04

对象存储相关漏洞

存储桶任意文件读取

漏洞原因：如果存储桶配置公共读并包含listobject就会出现任意文件读取的情况

修复方法：将存储桶配置为私有

存储桶STS权限过大导致存储桶接管

什么是 STS ？

STS 是一种临时安全凭证服务，允许用户生成 短时效的 访问令牌 （Token），代替永久密钥（如AccessKey）访问云资源。

STS 工作原理：

1. 颁发临时令牌 ： 用户向STS服务申请临时令牌（包括临时AccessKey、SecretKey、SecurityToken）。需指定权限策略（Policy），例如：仅允许访问某个存储桶的某个目录。
2. 使用令牌访问存储桶 ： 客户端使用临时令牌调用对象存储API，云服务验证令牌有效性。
3. 自动过期 ：

令牌有效期通常为几分钟到几小时，过期后自动失效。

漏洞原因：

在文件上传的功能点，有些会使用sts进行文件上传，在上传文件前会通过接口获取到上传文件的sts，再利用生成的sts进行文件上传，

正常情况下获取的sts只能上传文件对应的目录下，如果sts的权限给到根目录可能造成 任意文件覆盖 ，如果给予的权限最大可能造成 存储桶接管

漏洞案例：

1. 存储桶sts权限过大导致存储桶集接管

通过接口获取到sts:

直接利用获取到的sts调用对应存储桶的sdk，sdk可以在对应存储桶的官方文档中获取，这里以cos为例：

import stssampleconffrom baidubce.services.sts.stsclient import StsClientfrom baidubce.bceclientconfiguration import BceClientConfigurationfrom baidubce.auth.bcecredentials import BceCredentialsstsak = str(response.accesskeyid)stssk = str(response.secretaccesskey)token = response.sessiontokenboshost = “BOSHOST”#配置BceClientConfigurationconfig = BceClientConfiguration(credentials=BceCredentials(stsak, stssk), endpoint = boshost, security_token=token)

调用bos的sdk尝试直接列桶，可以直接列出桶内所有数据，并且通过上面接口可以获取其他桶的sts，导致任意存储桶接管

存储桶ak/sk泄露

可以直接使用oss浏览器或行云管家接管：

存储桶任意文件覆盖漏洞

漏洞原因：

当上传文件时数据包中包含上传路径参数并且可以上传到任意目录就可能造成任意文件覆盖loud

漏洞案例 ：

获取到上传文件的数据包：

修改文件到上传到根目录，可以通过社区或访问其他文章可以获取到其他用户的文件目录，将上传的文件目录替换为其他用户的文件目录可以直接进行文件覆盖

调用获取预签名的接口，这里将获取预签名的目录改为上传文件的目录就可以获取到文件的预签名

注意：当遇到获取文件预签名的接口时，可以尝试将文件的目录直接替换为根目录，如果可以获取到根目录的预签名可能会直接列出整个存储桶

扫码加入我们交流群，或者微信添加：dongxi2026

第一时间获取我们的内部分享 和 公开课~

新思路！支付漏洞实战案例分享：低价薅高价商品

深度剖析 Node.js 环境下的 SSRF 漏洞：从原理挖掘到防御体系构建

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：洞悉安全团队 洞悉安全团队 洞悉安全团队《云存储实战挖掘思路》