收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 漏洞公告

云存儲應用存在越權訪問和文件上傳漏洞

攻擊者利用該漏洞,可在越權的情況下,遠程讀取、修改云存儲中的內容。目前,漏洞相關細節未公開,漏洞影響范圍和危害較大。

一、漏洞情況分析

云存儲是云計算基礎上延伸和衍生發展出來的新概念,綜合采用分布式處理、并行處理和網格計算等手段,將網絡中不同類型的存儲設備通過應用軟件集合起來協同工作,對外提供統一的數據存儲和業務訪問功能。云存儲在移動APP、網頁版程序、APP小程序(以下簡稱云存儲應用)等場景得到了廣泛應用。用戶訪問云存儲數據時,進行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。

騰訊安全玄武實驗室研究發現云存儲應用由于配置不當,存在越權訪問和文件上傳漏洞:使用臨時密鑰進行文件上傳的云存儲應用,缺乏對文件(存儲桶)訪問或上傳路徑(存儲桶)的權限限制,導致文件(存儲桶)越權訪問或文件上傳漏洞;使用永久密鑰為文件上傳請求簽名的云存儲應用,缺乏對永久密鑰的必要保護,產生任意路徑文件(存儲桶)的越權訪問和文件上傳漏洞。攻擊者利用上述漏洞,通過云存儲應用破解或網絡抓包獲得永久密鑰或臨時密鑰,實現對云存儲中的文件數據的竊取,甚至篡改用戶保存在云存儲中的數據文件。

該漏洞評級為“高危”。

二、漏洞影響范圍

漏洞影響情況如下:

騰訊安全玄武實驗室阿圖因系統分析結果顯示,使用國內主流廠商云存儲服務的安卓APP數量為4148個。抽樣檢測結果顯示,受此漏洞影響的應用比例達70%。

三、漏洞處置建議

1、采用臨時簽名上傳文件的云存儲應用:根據業務場景將服務端生成的臨時密鑰權限更新至最小,限定文件的上傳路徑和上傳的目標存儲桶,去除讀文件、列存儲桶、列對象、覆蓋文件等非業務必要權限。

2、采用永久密鑰簽名上傳文件的云存儲應用:更新客戶端和服務端上傳邏輯,改為用最小權限的臨時密鑰方式或者 PUT 方式進行上傳。


福彩3d跨度走势图300期带连线