基本介绍
部分应用系统提供了身份证图片上传和头像上传的功能,同时将这些文件上传至OSS中,当我们在进行文件上传或者查看用户个人信息时有时候会从回显数据包中返回对应的AK/SK数据信息,导致攻击者可以通过AK/SK接管存储桶,从而造成大量的数据信息泄露
漏洞示例
系统用户登录之后回显的数据包中包含登录用户的手机号、企业名称、部门名称、头像路径、domain等信息,access_key_id和access_key_secret等敏感信息泄露,具体如下图所示
使用上面泄露的access_key_id与access_key_secret成功登录OSS
可操作OSS中的文件:
修复建议
敏感信息不应前端返回,应对必要所需返回的敏感数据进行脱敏处理
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
