阿里云OSSBucket劫持,阿里云漏洞是什么问题-ESG跨境

阿里云OSSBucket劫持,阿里云漏洞是什么问题

阿里云OSSBucket劫持

对象存储OSS

阿里云对象存储OSS（Object Storage Service）是一款海量、安全、低成本、高可靠的云存储服务，提供99.9999999999%(12个9)的数据持久性，99.995%的数据可用性。多种存储类型供选择，全面优化存储成本。

劫持利用

访问某域名，提示 NoSuchBucket

获取信息，这个桶不存在

HostId :baobaotb.osscnshenzhen.aliyuncs.com

BucketName :baobaotb

登陆阿里云，访问(OSS管理控制台)[https://oss.console.aliyun.com/overview]

创建Bucket

注意填写Bucket 名称和地域，和上面获取的信息保持一致

查看 Bucket 域名，可以看到创建成功

上传文件

访问左侧菜单，选择上传文件，上传HTML文件，文件ACL 选择公共读就可以了

访问该该地址，发现已经劫持成功

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。