Bucket上传策略和URL签名的绕过与利用<\/h1>

1. 基本概念<\/h2>

1.1 Bucket策略<\/h3>
Bucket策略是一种将内容直接上传到云端存储(如Google云端存储或AWS S3)的安全方式。它通过创建一个定义上传规则的策略文档，用密钥对策略进行签名，然后将策略和签名发送给客户端，客户端可以直接上传文件到Bucket。<\/p>

1.2 上传策略 vs URL预签名<\/h3>

上传策略(POST策略)<\/strong>：仅允许上传内容<\/li>

URL预签名<\/strong>：不仅限于上传，还可以PUT、DELETE或GET对象，取决于预签名逻辑定义的HTTP方法<\/li> <\/ul>
2. 上传策略的利用<\/h2>
2.1 关键属性定义<\/h3>

Access=Yes<\/strong>：上传后是否可以访问文件<\/li>
Inline=Yes<\/strong>：是否可以修改content-disposition使内容内联显示<\/li> <\/ul>
2.2 常见漏洞场景<\/h3>
场景1: starts-with $key为空<\/h4>
["starts-with", "$key", ""]<\/code><\/p>
影响<\/strong>：可以上传文件到Bucket的任何位置，覆盖任何对象<\/li> 限制<\/strong>：如果Bucket使用UUID命名且不公开，利用难度较大<\/li> <\/ul> 场景2: starts-with $key不包含路径分隔符<\/h4> ["starts-with", "$key", "acc_1322342m3423"]<\/code><\/p> 影响<\/strong>：可以将内容直接放在Bucket根目录<\/li> 利用条件<\/strong>：Access=Yes和Inline=Yes<\/li> 攻击方式<\/strong>：通过AppCache-manifest窃取其他用户上传的URL<\/li> <\/ul> 场景3: starts-with $Content-Type为空<\/h4> ["starts-with", "$Content-Type", ""]<\/code><\/p> 影响<\/strong>：可以上传text\/html内容<\/li> 利用方式<\/strong>：运行JavaScript或安装AppCache-manifest<\/li> <\/ul> 场景4: starts-with $Content-Type定义不严格<\/h4> ["starts-with", "$Content-Type", "image\/jpeg"]<\/code><\/p> 绕过方法<\/strong>：添加额外内容使第一个内容类型成为未知mime类型 Content-type: image\/jpegz;text\/html<\/code><\/li> 影响<\/strong>：文件将被识别为text\/html类型<\/li> <\/ul> 3. URL签名的利用<\/h2> 3.1 基本利用思路<\/h3> 获取Bucket根目录下已签名的GET-URL，可以显示Bucket的文件列表。知道其他文件后，可以为它们请求URL签名，获取访问权限。<\/p> 3.2 错误自定义逻辑示例<\/h3> 示例1: 路径遍历<\/h4> 原始请求： https:\/\/freehand.example.com\/api\/get-image?key=abc&document=xyz<\/code><\/li> 返回签名URL： https:\/\/prodapp.s3.amazonaws.com\/documents\/648475\/images\/abc?...<\/code><\/li> 利用方式：通过遍历路径指向根目录 https:\/\/freehand.example.com\/api\/get-image?key=document=xyz<\/code><\/li> 结果： https:\/\/prodapp.s3.amazonaws.com\/?X-Amz-Algorithm=...<\/code><\/li> <\/ul> 示例2: 正则表达式解析问题<\/h4> 请求： {"url"<\/span>:"https:\/\/example-bucket.s3.amazonaws.com\/dir\/file.png"<\/span>} <\/span><\/span><\/code><\/pre><\/li> 利用方式：欺骗URL extraction {"url"<\/span>:"https:\/\/example-bucket.s3.amazonaws.com\/dir\/..\/..\/..\/"<\/span>} <\/span><\/span><\/code><\/pre><\/li> 结果：获取Bucket根目录签名URL<\/li> <\/ul> 示例3: 临时URL签名链接<\/h4> 流程：创建随机密钥：{"random_key":"abc-123", "s3_key":"\/file.jpg"}<\/code><\/li> 访问：https:\/\/secure.example.com\/files\/abc-123<\/code><\/li> 重定向到：https:\/\/example.s3.amazonaws.com\/file.jpg?...<\/code><\/li> <\/ol> <\/li> 利用方式：修改s3_key<\/code>为\/<\/code> {"random_key":"xx1234","s3_key":"\/"}<\/code><\/li> 结果：获取Bucket根目录列表<\/li> <\/ul> 4. 防御建议<\/h2> 4.1 上传策略最佳实践<\/h3> 为每个文件上传请求或至少每个用户生成独立的上传策略<\/li> $key<\/code>应有完整定义：包含唯一、随机的名称和路径<\/li> content-disposition<\/code>应优先设置为attachment<\/code><\/li> acl<\/code>应优先选择private<\/code>或不设置<\/li> content-type<\/code>应明确设置(不使用starts-with<\/code>)或不设置<\/li> <\/ol> 4.2 URL签名安全建议<\/h3> 不要基于用户请求参数创建URL签名<\/li> 严格控制签名权限范围<\/li> 避免暴露Bucket根目录访问权限<\/li> 实施严格的路径验证<\/li> <\/ol> 4.3 其他建议<\/h3> 定期审计Bucket权限设置<\/li> 监控异常访问模式<\/li> 使用最小权限原则配置访问控制<\/li> 考虑使用存储桶策略进一步限制访问<\/li> <\/ol> 5. 总结<\/h2> 本文详细介绍了Bucket上传策略和URL签名机制的安全风险及利用方法，包括多种绕过技术和实际案例。通过理解这些漏洞模式，开发人员可以更好地保护云端存储资源，避免敏感数据泄露。关键在于严格验证所有上传参数，实施最小权限原则，并避免将用户输入直接用于生成访问凭证。<\/p>