文章首发于:
火线Zone社区(https://zone.huoxian.cn/)
本文主要介绍谷歌云对象存储攻防的方式。
存储桶配置错误-公开访问
当创建的存储桶配置了allUsers拥有GCS对象的读取权限时,该存储桶可以被任何用户公开访问。
Bucket爆破
当不存在时访问会提示NoSuchBucket。
当存在时会出在下面情况,公开访问和拒绝访问。
Bucket Object 遍历
当对allUsers配置了Storage Object Viewer 或者Storage Legacy Bucket Reader权限时就会将存储桶内容遍历出来并且可以读文件内容。
任意文件上传和覆盖
当存储桶配置了allUsers拥有 Storage Legacy Bucket Owner、Storage Object Admin或者Storage Legacy Bucket Writer 权限时,任何用户都可以上传任意文件到存储桶并覆盖已经存在的文件。
SERVICE ACCOUNT泄漏
-
Github代码中泄露
-
网站JS代码
Bucket IAM 策略可写
访问权限控制为统一时,对象访问权限完全由存储桶级权限 (IAM) 进行控制。
直接访问存储桶发现AccessDenied。
查看Bucket IAM策略。
上图标识部分表示所有的谷歌认证用户都有权有权获取和设置任意 IAM 策略,通过gsutil去修改IAM策略。
再次去访问存储桶
Object ACL可写
访问存储桶对象时提示AccessDenied
当访问权限控制为精细控制时,查看Object ACL,发现所有谷歌认证用户都能修改Object ACL。
gsutil acl ch -u allUsers:R gs://new2_test/1.txt
修改ACL后任何用户都可以访问。
【火线Zone云安全社区群】
进群可以与技术大佬互相交流
进群有机会免费领取节假日礼品
进群可以免费观看技术分享直播
识别二维码回复【社区群】进群
【火线zone社区周激励】
2022.2.21 ~ 2022.2.27公告
【相关精选文章】
火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。欢迎具备分享和探索精神的云上用户加入火线Zone社区,共建一个云安全优质社区!
如需转载火线Zone公众号内的文章请联系火线小助手:hxanquan(微信)
微信号
huoxian_zone
点击阅读原文,加入社区,共建一个有技术氛围的优质社区!
原文始发于微信公众号(火线Zone):【云安全】谷歌云对象存储攻防
