全部建议
>
建议详情
- 预审中
- 预审通过
- 3 未采纳
【产品缺陷】关于华为云 OBS 存储服务的安全性问题 未采纳 编辑 删除
- 对象存储服务 OBS
- 存储
问题描述:起因:在日常访问 OBS 域名时候(Bucket 策略为公共)对比其他云厂商发现仅华为云(当公共访问 Bucket 时)会返回OBS里面所有 list 出来的文件。
虽然策略本身为公开;不应将所有的文件以默认的形式暴露出来,当客户没有设置相关的封顶配置/Referer时根据SizeTags 很容易会被恶意刷走流量,倘若进一步利用会增加公共 Bucket 的文件暴露面积,使得别有用心的黑客可以获取客户误配置权限后的所有文件。并通过 URL 拼接的方式批量下载下来,通过 javascript/其他任何语言 处理之后拼接相关的 bucket 域名构造命令可一次将所有文件下载下来。
建议方案:对于公开桶请不要将桶内所有文件以 list 的形式列举出来,公共桶在没有绝对正确的文件路径下应均返回 AccessDenied。
yd_235854164
发布于 2023-06-25 16:12:30
2023-06-25
121 2
0%
0%
取消
发表
0/1000
+ 插入图片0/4
仅支持JPG、JPEG、PNG、GIF,数量不超过4张且每张大小不超过2MB
0%
0%
新窗
关闭
删除建议
全部评论(2)
评论(2)
您好,关于您提交的建议产品和研发团队进行了评估,公共桶本身就是允许所有人操作的,建议您使用私有桶。综合考虑整体需求与产品规划,很抱歉未能采纳,还请您谅解。
对您造成困扰深表歉意!希望以上可以解决您的疑虑,感谢您的反馈,若在使用还有其它建议,可在云声平台继续反馈,我们收到后会尽快处理。感谢您对华为云的支持!
非常感谢您的反馈,您的建议和诉求已经收到,并已提交至相关产品团队进行核查评估,评估完成后对于建议是否采纳会尽快给您答复,也请您持续关注云声平台,了解反馈建议处理进展,感谢您对华为云的支持!