关于上传点使用对象存储的套路 作者: lattice 时间: 2019-05-21 分类: 网络安全 4 条评论 操 不知道为啥今天cloudflare的cdn今天为啥这么慢 ## 开头 对象存储现在运用的越来越广泛了,现在很多厂商在上传头像、文件的位置都会运用对象存储这个功能 毕竟存储空间大又便宜并且与主机分离,相对安全 包括进行网站的备份什么的,都非常方便 像阿里云的OSS或者腾讯云的COS 可参考: https://www.heavensec.org/archives/124.html 下面是针对上传点使用对象存储套路的分享 (反正我也不知道算不算漏洞,有点懵的上头) ## 套路分析(可能也算不上是漏洞吧) ### 起因 **下方截图已打码处理** 上个月挖了一个网易某个站点的存储xss 首先还是先上传了构造好xss的html文件 详细可参考: https://www.heavensec.org/archives/120.html 上传之后数据的格式是:  文件是在对象存储服务的网址中出现并且也出现了xss弹窗  当时这个漏洞是按中危接收了(等了四天..哭了都) ### 之后嘞 之后就是...我又来到了蚂蚁金服,随便挖了一手 也是碰到了一个上传点,网站同样是使用的对象存储 上传点是上传头像的地方 所以还是老套路,构造xss的jpg文件上传改包 这时我们获取到的数据包肯定是jpg文件类型的数据包 所以在数据包的```content-type```中后面跟着的是```image/jpg``` **重点来了(敲黑板)** 然后举一反三呗...想起了上面网易的那个存储xss的数据包,然后就把数据包改成了同样的格式  红色箭头的部分就是需要改动地方```.jpg```全部改成```.html``` 然后再将```content-type```第三个红色箭头的地方把```image/jpg```改成```text/html``` GO出去,就显示上传成功了 文件具体路径网址的构造就不多说,套路教到了,剩下的自己体会 最后也出现了弹窗  性感彩烈的提交去了 ### 结果 一波冷水直接劝退  审核的回复完全没有问题,oss服务器的确也是无法限制上传文件的类型..但是撞洞了...头疼 ## 写给提供对象存储服务的厂商的一些建议 数据提交的部分还是得做处理... 不然直接改数据格式绕过,啥文件都上传上去了,最后懂我意思吧...? ## 最后 还是那句话吧..每个src都有自己的规则,尊重各个src的审核标准以及等级评判标准,再多的东西逼逼这么多也没用..该咋样还是咋样,水费涨价,省着点口水继续挖洞吧 **在座的厂商都是爸爸,劝退可怕,告辞**
一些关于服务器的问题 作者: lattice 时间: 2019-05-05 分类: 生活日记,日常生活 评论 ## 感动中国 本站服务器已经从香港idc迁到了腾讯云的广州服务器 毕竟离自家近且对海外出口速度应该快一些吧...?? ## 关于配置与价格 一开始我使用的是香港idc,只花了29元抢的神机(续费也是29...) 后期升级配置变成了个人博客的服务器,价格也直接飙到了 57/Month  抛弃这台服务器真的太心疼了...因为不限流,用来做ssr真的完美 但是个人预算顶不顺...哭 所以就直接入手了腾讯云的学生机(感谢Adrian给的建议) 学生机的配置就是默认配置,想升级结果发现血妈贵....  价格是我直接怼上了120/Year,其实还可以吧.. 但是服务器配置还是不能心满意足,后期很多东西可能需要在阿里云的学生机上搭 阿里云跟腾讯云的学生机价格差不了多少,不贵 ## 关于对象存储 Emmm对象存储这个的话... 之前买了个一年阿里的oss,好像才16块钱?? 反正很便宜,然后购买腾讯云的学生机也送了六个月50G的cos存储(安利腾讯云) 所以每周服务器都会备份到阿里oss和腾讯cos 但是typecho的图片对象存储还没特别完善,插件很多都get不到图片和自带水印,所以文章内所上传的所有图片还是暂存主机 ## 关于域名 现在域名还是使用 https://www.heavensec.org/ 因为原本服务器使用的域名是https://www.shadowlink.top/ 还存在一定的流量,所以https://www.shadowlink.top/ 这个域名使用了反向代理到了现在所使用的域名(虽然可能存在了ssl证书的问题...主域名没出现就行) 后期再考虑换成个人博客的域名,现暂使用原团队网站域名 ## 安全问题 CDN用的是连我自己都讨厌的Cloudflare 迁移之后暂时还没全面完善和检查 如果发现问题可以直接找我来上报,发现了全部有奖励 (有是有,但是没多少,范围就Under 30吧) 网站程序方面问题不接收 因为是typecho官方问题我不能处理,所以只收针对服务器配置的安全问题 任何问题可以直接微信联系我  ## 写给圈子里的朋友 可以对网站进行测试与漏洞挖掘 但是本人不接受任何端口爆破和压力测试等攻击性测试 如发现,爆菊处理 ## 写给其他博客的访客 这个博客具有极强包容性也欢迎各位的访问 希望技术贴能让你们学到东西 怼人贴能让你们看清更多事实 **我是Lattice,拜你个拜**