阿里云OSSBucket劫持,阿里云漏洞是什么問題-ESG跨境

阿里云OSSBucket劫持,阿里云漏洞是什么問題

阿里云OSSBucket劫持

對象存儲OSS

阿里云對象存儲OSS（Object Storage Service）是一款海量、安全、低成本、高可靠的云存儲服務，提供99.9999999999%(12個9)的數(shù)據(jù)持久性，99.995%的數(shù)據(jù)可用性。多種存儲類型供選擇，全面優(yōu)化存儲成本。

劫持利用

訪問某域名，提示 NoSuchBucket

獲取信息，這個桶不存在

HostId :baobaotb.osscnshenzhen.aliyuncs.com

BucketName :baobaotb

登陸阿里云，訪問(OSS管理控制臺)[https://oss.console.aliyun.com/overview]

創(chuàng)建Bucket

注意填寫B(tài)ucket 名稱和地域，和上面獲取的信息保持一致

查看 Bucket 域名，可以看到創(chuàng)建成功

上傳文件

訪問左側(cè)菜單，選擇上傳文件，上傳HTML文件，文件ACL 選擇公共讀就可以了

訪問該該地址，發(fā)現(xiàn)已經(jīng)劫持成功

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。