Understanding the Security Risks of Websites Using Cloud Storage for Direct User File Uploads

原创

已于 2025-04-27 10:03:08 修改 · 1.1k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #云原生 #论文阅读 #阿里云 #web安全

于 2025-03-20 14:52:26 首次发布

1. 论文概述

1.1 基本信息

标题：Understanding the Security Risks of Websites Using Cloud Storage for Direct User File Uploads
作者：Yuanchao Chen, Yuwei Li, Yuliang Lu, Zulie Pan, Yuan Chen, Shouling Ji, Yu Chen, Yang Li, Yi Shen
发表信息：IEEE Transactions on Information Forensics and Security (TIFS), 2025
DOI: 10.1109/TIFS.2025.3544082
论文下载地址: https://ieeexplore.ieee.org/document/10896886
研究背景：随着网站数据存储需求增长，云存储服务被广泛用于直接处理用户文件上传，但多角色交互引入了新的安全威胁。

1.2 核心贡献

首次系统地研究了 Web 用户直接将文件上传到云存储的安全风险。确定了六种新类型的漏洞并对其进行了详细分析。
通过广泛的实际测量，发现所有评估的网站都至少存在六个新发现的漏洞中的一个，共发现 79 个新漏洞。
将发现的漏洞报告给相应的网站以便及时修复。此外，讨论了漏洞的根本原因，并提出了减轻潜在安全风险的可行方法。

2. 核心内容分析

2.1 用户直传云存储的三阶段模型

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Cyc1e

关注关注

23
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Web测试工具和管理工具集合

释然乌托邦的专栏

05-10

2万+

Web Site Test Tools and Site Management Tools <br /> More than 500 tools listed in 13 categories <br />Organization of Web Test Tools Listing - this tools listing has been loosely organized into the following categories : Load and Performance Test T

Top 67 Log Management Tools

fishmai的专栏

07-03

1万+

Operating systems, such as Windows and Unix, as well as networks such as Cisco, typically offer some native log management functionality. But these log and event management mechanisms fall short of co

参与评论您还未登录，请先登录后发表或查看评论

高负载高并发网站架构分析

Steven_ssm的博客

08-28

3万+

由于自己正在做一个高性能大用户量的论坛程序，对高性能高并发服务器架构比较感兴趣，于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ———————————————————————————————————————  初创网站与开源软件 6  谈谈大型高负载网站服务器的优化心得! 8  Lighttpd+S

[转]高负载并发网站架构分析

bluehire的专栏

12-23

2万+

由于自己正在做一个高性能大用户量的论坛程序，对高性能高并发服务器架构比较感兴趣，于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach

插件8：拼写检查

热门推荐

dearbaba_1666的博客

06-27

16万+

<?php // Plug-in 8: Spell Check // This is an executable example with additional code supplie

04《Shattered Chain of Trust: Understanding Security Risks in Cross-Cloud IoT Access Delegation》随笔

qq_45448576的博客

01-07

1052

S表示系统的状态，每个状态记录了各个实体的授权令牌集合；T表示系统状态的转移，即在授权操作的驱使下，系统从一个状态转移到另一个状态；在这个演示中，一个恶意的委托(攻击者)滥用飞利浦Hue的跨云委托API来重新获得对飞利浦Hue设备的未经授权的访问。在本节中，我们将详细介绍VerioT的设计和实现，VerioT是我们用于检测现实世界物联网云中委托缺陷的半自动工具。第6节介绍了委托缺陷的影响。第六节讨论了安全委托机制的设计原则、工作的局限性和未来的发展方向;假定管理员和物联网云是诚实的，被委托者是恶意的。

what is purpose of Linux chmod u+w file if the file was ever set as no-write permission for the user, would that have breached security?

11-05

In Linux, the `chmod u+w file` command is used to add write permission to the owner of a file when the file initially has no write permission for the owner. The `chmod` command is used to change the ...

精选资源

On the Opportunities and Risks of Foundation Models.pdf

08-18

"深度学习基础模型的机遇挑战" 深度学习基础模型是近年来人工智能领域的最大突破之一，这些模型可以通过大规模数据训练，适应多种下游任务。它们的出现标志着人工智能领域的范式转移。基础模型的出现，为我们提供了...

How to Integrate kkfileview with Cloud Storage Services for Online File Browsing

In the modern era of information technology, the kkfileview component serves as a powerful online file viewer, significantly facilitating users. By integrating with cloud storage services, users can ...

无网环境下的终端登录安全：一个被忽视的等保盲区

安当加密

01-01

797

在等保2.0全面落地的今天，大多数企业已部署防火墙、EDR、日志审计等纵深防御体系。。尤其在的环境中（如监控室、工控机房、财务内网终端），这一风险被进一步放大。

软考系统架构设计师系列知识点之安全架构设计理论与实践（18）

phmatthaus的专栏

01-03

115

软考系统架构设计师系列知识点之安全架构设计理论与实践（18）

安全隐私页面 Cordova&OpenHarmony 混合开发实战

2501_94444908的博客

12-29

528

本文介绍了家庭菜谱应用的安全隐私模块实现方案。该模块通过Cordova&OpenHarmony混合架构，Web层负责展示清理选项和确认对话框，ArkTS原生层执行实际数据操作。主要功能包括清除缓存和重置应用，通过不同按钮样式区分操作风险级别。清除缓存会删除临时文件，而重置应用则会清空所有菜谱数据。实现上采用"Web交互+原生执行"的安全分工模式，Web层处理用户确认和提示，原生层通过SecurityPlugin执行文件删除操作。该设计既保证了数据安全，又提供了良好的用户体验。

电子电器架构 --- 主机厂的安全理念（下）

Soly_kun的博客

12-29

206

摘要：本文以汽车电子工程师视角，探讨智能汽车时代的安全理念与实践。作者强调安全是主机厂的生命线，并重点分析了蔚来汽车的四大信息安全原则：最小权限原则从源头控制风险，零信任设计打破传统安全预设，分层纵深防御构建"云-管-端"防护体系。文章指出，在汽车智能化转型中，信息安全已成为维系用户信任的核心纽带，需要贯穿研发、生产、服务全流程。通过系统化的安全体系建设，才能应对日益复杂的网络安全挑战，守护用户生命财产安全。（149字）

Java 安全的单例模式详解

萧曳丶

01-01

370

单例模式是一种确保类只有一个实例并提供全局访问点的设计模式。文章详细介绍了多种实现方式：非安全的懒汉式、线程安全的饿汉式、同步方法懒汉式、双重检查锁、静态内部类以及枚举实现，并分析了各自的优缺点。特别强调了如何防止反射攻击、序列化破坏等安全隐患，提供了完整的安全单例示例。文章还比较了不同场景下的最佳实践方案，推荐简单场景用饿汉式，高安全要求用枚举实现，并介绍了现代Java中的Supplier和CompletableFuture实现方式。最后指出单例模式可能隐藏依赖关系、测试困难等问题，建议根据线程安全、性能

阿里千问安全审核大模型，本地部署，实测

12-29

728

大家好，我是 Ai 学习的老章

解锁高效安全办公新形态：信创云桌面的核心价值与行业实践

Raysync2025的博客

12-29

548

对于正走在信创深化之路上的组织而言，选择一个架构先进、生态开放、服务专业的云桌面平台，无疑将为未来的可持续发展奠定坚实的信息化基石。信创云桌面，并非简单的桌面环境虚拟化，而是以国产化核心技术为底座，构建的一套涵盖终端、接入、平台、应用与数据的完整体系。：采用高效的桌面传输协议，即使在复杂的专业图形设计、视频播放等场景下，也能保障用户获得接近本地PC的操作体验，且对网络带宽具备良好的适应性。：能够根据不同部门、岗位的需求，精准、敏捷地交付对应的桌面环境与应用，并对其全生命周期进行监控、优化与自动化管理。

vDisk VOI/IDV：Windows启动性能优化与安全部署攻略