云存储攻防之Bucket配置可写
基本介绍
OBS ACL是基于帐号级别的读写权限控制,权限控制细粒度不如桶策略和IAM权限,OBS支持的被授权用户如下表所示:
被授权用户 | 描述 |
|---|---|
特定用户 | ACL支持通过帐号授予桶/对象的访问权限,授予帐号权限后,帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限,当需要为不同IAM用户授予不同的权限时,可以通过桶策略配置 |
拥有者 | 桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限,其中桶ACL的读取和写入这两种权限永远拥有,且不支持修改,对象的拥有者是上传对象的帐号,而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限,且不支持修改须知:不建议修改桶拥有者对桶的读取和写入权限。 |
匿名用户 | 未注册华为云的普通访客。须知:开启匿名用户的桶/对象访问权限后,所有人都可以在不经过身份认证的情况下,对桶/对象进行访问。 |
日志投递用户组 | 日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在账户的桶中创建或上传任何文件,因此在需要为桶记录访问日志时,只能由账户授予日志投递用户组一定权限后,OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。须知:当日志记录开启后,目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭,桶的日志记录会失败。Browser+暂不支持配置。 |
- 当日志记录开启后,目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭,桶的日志记录会失败。
- Browser+暂不支持配置。
桶ACL的访问权限如表所示:
权限 | 选项 | 描述 |
|---|---|---|
桶访问权限 | 读取权限 | 此权限可以获取该桶内对象列表和桶的元数据 |
对象读权限 | 此权限可以获取该桶内对象对象的内容和对象的元数据 | |
写入权限 | 此权限可以上传、覆盖和删除该桶内任何对象 | |
ACL访问权限 | 读取权限 | 此权限可以获取对应的桶的权限控制列表桶的拥有者默认永远具有ACL的读取权限 |
写入权限 | 此权限可以更新对应桶的权限控制列表桶的拥有者默认永远具有ACL的写入权限 |
对象ACL的访问权限如表所示:
权限 | 选项 | 描述 |
|---|---|---|
对象访问权限 | 读取权限 | 此权限可以获取该对象内容和元数据 |
ACL访问权限 | 读取权限 | 此权限可以获取对应的对象的权限控制列表对象的拥有者默认永远具有ACL的读取权限 |
写入权限 | 此权限可以更新对象的权限控制列表对象的拥有者默认永远具有ACL的写入权限 |
操作实例
ACLs不可读写
Step 1:配置桶ACLs策略中的"公共访问权限"中的"ACL访问权限"为"不可读不可写"
Step 2:初始桶策略如下,不包含ListBucket
Step 3:直接访问可以看到无法列举对象信息
Step 4:查看acl发现无法访问
ACLs只可读取
Step 1:配置如下
Step 2:查看acls信息如下
请求的响应中以消息元素的形式返回桶的ACL信息,元素的具体意义如下表所示:
元素 | 元素说明 |
|---|---|
Owner | 桶的所有者信息类型:XML |
ID | 用户所属租户的租户Id类型:字符串 |
AccessControlList | 访问控制列表,记录了对该桶有访问权限的用户列表和这些用户具有的权限类型:XML |
Grant | 用于标记用户及用户的权限类型:XML |
Grantee | 记录用户信息类型:XML |
Canned | 向所有人授予权限类型:枚举类型,其值只能是Everyone |
Delivered | 桶的ACL是否向桶内对象传递类型:布尔类型 |
Permission | 指定的用户对该桶所具有的操作权限类型:字符串 |
Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs,发现失败
更改桶的ACL请求需要在消息元素中带上ACL信息,元素的具体含义如下表所示:
元素名称 | 描述 | 是否必选 |
|---|---|---|
Owner | 桶的所有者信息,包含ID类型:XML | 是 |
ID | 被授权用户的租户Id类型:字符串 | 是 |
Grant | 用于标记用户及用户的权限。单个桶的ACL,Grant元素不能超过100个类型:XML | 否 |
Grantee | 记录用户信息类型:XML | 否 |
Canned | 向所有人授予权限取值范围:Everyone类型:枚举类型 | 否 |
Delivered | 桶的ACL是否向桶内对象传递。作用于桶内所有对象类型:布尔类型。默认false | 否 |
Permission | 授予的权限。详情参见桶ACL访问权限取值范围:READ | WRITE | FULL_CONTROL类型:枚举类型 | 否 |
AccessControlList | 访问控制列表,包含Grant、 Grantee、Permission三个元素类型:XML | 是 |
Step 4:此时我们的ACP依旧不变
ACLs可读可写
Step 1:配置如下
Step 2:查看acls信息如下
Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取和写桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs
Step 3:从上面的回显结果可以看到成功改写策略,之后我们转至桶ACLs页面查看对应的策略的变化
Step 4:之后再次查看ACLs策略时发现已更改为FULL_CONTROL
Step 5:可以看到此时我们成功改写了桶ACLs中"公共访问权限-匿名用户"的桶访问权限,之后我们再来查看桶对象时可以看到可以成功读取桶的对象
文末小结
桶的ACLs策略配置不当时,攻击者可以通过ACLs的写ACL策略来实现桶对对象的访问
腾讯云开发者
