云环境渗透之对象存储攻击简述-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

CNVD漏洞周报2025年第29期

2025-08-11

云环境渗透之对象存储攻击简述

发布时间：2021-07-09 阅读次数： 242 次

对象存储简述

对象存储是云计算时代下的一种存储技术，英文全称为Object-Based Storage，是一种新型网络存储架构，其特点是基于对象进行文件操作。对象存储服务通常是由云计算厂商进行提供，国内的如阿里云(OSS)、腾讯云(COS)、百度云(BOS)等，国外的如亚马逊(S3)等。

攻击简述

对象存储和普通存储一样，都是用来存储文件的，攻击者如果攻破了对象存储，那么就可能获取存储在对象存储中的敏感文件，如果具备操作权限，攻击者还可以对对象存储中的文件进行增删等操作(对象存储中的文件是无法进行直接修改的，只能下载后修改再上传)。在获得对象存储凭证的情况下，攻击者甚至可以直接对云服务器进行getshell操作，下面介绍几种针对对象存储的攻击思路。

1.凭证泄露

一般来说，云计算厂商提供的对象存储服务会具备一个凭证，这个凭证包含一个id和一个秘钥，是和云账户相关的，且是唯一的，具备对象存储的最高权限。如果凭证泄露，攻击者就可以利用云计算厂商提供的工具接口控制对象存储。

以腾讯云为例，腾讯云提供的对象存储叫COS，同时提供了一个COS文件浏览工具COSBrowser，只要获得SecretID和SecretKey就可以利用该工具访问对象存储中的文件。