基本概念：

不同的厂商对对象存储的叫法不同：

——Bucket：

存储空间（Bucket）是用户用于存储对象（Object）的容器，所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性，包括地域、访问权限、存储类型等。用户可以根据实际需求，创建不同类型的存储空间来存储不同的数据。

• 每个用户可以拥有多个存储空间。
• 存储空间的名称在 OSS 范围内必须是全局唯一的，一旦创建之后无法修改名称。
• 存储空间内部的对象数目没有限制。

——Object：

对象（Object）是 OSS 存储数据的基本单元，也被称为 OSS 的文件。和传统的文件系统不同，对象没有文件目录层级结构的关系。对象由元信息（Object Meta）、用户数据（Data）和文件名（Key）组成，并且由存储空间内部唯一的 Key 来标识。

元信息是一组键值对，表示了对象的一些属性，比如最后修改时间、大小等信息，同时用户也可以在元信息中存储一些自定义的信息。Data就是存储的数据本体。Key是指存储桶中的唯一标识符。

——Region（地域）：

Region表示OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建Bucket。一般来说，距离用户更近的Region访问速度更快。Region是在创建Bucket的时候指定的，一旦指定之后就不允许更改。该Bucket下所有的Object都存储在对应的数据中心，目前不支持Object级别的Region设置。

——Endpoint（访问域名）：

Endpoint表示OSS对外服务的访问域名。当访问不同的Region的时候，需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。例如杭州Region的外网Endpoint：http://oss-cn-hangzhou.aliyuncs.com，而内网Endpoint：http://oss-cn-hangzhou-internal.aliyuncs.com

访问权限设置不当：

存储空间的访问权限（ACL）有以下三类：

0x01 任意文件上传：

1、创建一个私有的Bucket：

点击刚刚创建的Bucket，上传一个文件测试：

2、上传成功后，可在文件列表中进行查看。点击详情即可查看文件访问链接地址：

当我们访问文件地址的时候，此时就会出现拒绝访问：

3、当我们将Bucket设置成公共读的时候，即浏览器就可以直接读取文件内容：

4、当我们将Bucket设置成公共读写的时候，此时可通过PUT方法上传任意文件：

0x02 文件遍历：

OSS存储里面有种类似列目录的漏洞，会显示当前存储下所有的文件存储路径。在创建Bucket桶时，默认是private的权限，如果在错误的配置下，给了ListObject权限，就会导致可遍历存储桶。

此时访问域名，就会发现所有文件列表：

综上，权限配置错误一般有以下三种风险：

• 公共读或公共读写：可完整访问但不显示完整结构
• 权限Bucket授权策略：设置ListObject显示完整结构
• 权限Bucket读写权限：公共读写直接PUT文件任意上传

0x03 域名解析Bucket接管：

正常情况下OSS存储是不解析存储的文件的，比如上传一个html文件，访问是直接下载，而非展示出html文件解析后的页面。当Bucket配置域名绑定后，直接访问域名，即可解析html文件。

这样设置本身是没有漏洞的，但如果用户设置了域名绑定，但后来由于某种原因将OSS存储中的Bucket删除了，域名绑定没有删除，这时访问域名就会出现NoSuchBucket。因此可以登录自己的阿里云账号，创建同样的 Bucket 从而实现网站接管。

0x04 AccessKey，SecretAccessKey泄漏：

访问密钥AccessKey（简称AK）是阿里云提供给阿里云用户的永久访问密钥，用于通过开发工具（API、CLI、SDK、Cloud Shell、Terraform等）访问阿里云时的身份验证，不用于控制台登录。获取到这些信息后，是可以用官方工具或者网上别人开发的利用工具接管OSS存储的。

此时我们可以利用去官网上查找利用工具或者第三方开发的工具如oss-browser进行进一步利用。

0x05 不安全的 Bucket 策略配置：

如果管理员设置了某些 IP，UA 才可以请求该存储桶的话，此时如果错误的配置了 GetBucketPolicy，可导致攻击者获取策略配置

通过直接访问：http(s)://url/?policy 来确定是否对 Bucket 具有读取权限

另外如果我们拥有PutBucketPolicy权限，我们可以直接修改策略，比如原本Effect中设置为Deny，我们只需要将它更改为Allow即可。

当设置Becket授权策略如下图所示，不具有ListObjects权限、但具有PutBucketPolicy权限

此时访问结果如下：

我们直接使用PUT方法上传修改BucketPolicy

PUT /?policy HTTP/1.1
Host: dapaozhang1.oss-cn-beijing.aliyuncs.com
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Priority: u=0, i
Connection: keep-alive
Content-Length: 544

{"Version":"1","Statement":[{"Effect":"Deny","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1/*"]},{"Effect":"Allow","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}},{"Effect":"Allow","Action":["oss:GetBucketPolicy","oss:PutBucketPolicy"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}}]}

再次访问我们就可以正常看到存储桶中的对象了：

除了将原本的Deny策略修改为Allow以外，我们也可以反过来，这样就会导致某些网站获取oss上的资源文件失效，从而影响网站的正常运行。

参考如下：

对象存储攻防案例 - Geekby's Blog
【云安全攻防1】对象存储安全图文+实战案例详解
【云安全】阿里云 OSS对象存储攻防