关于容器:谷歌云对象存储攻防

文章首发于：前线Zone社区

本文次要介绍谷歌云对象存储攻防的形式。

01存储桶配置谬误-公开拜访

当创立的存储桶配置了allUsers领有GCS对象的读取权限时，该存储桶能够被任何用户公开拜访。

当不存在时拜访会提醒NoSuchBucket。

当存在时会出在上面状况，公开拜访和回绝拜访。

当对allUsers配置了Storage Object Viewer 或者Storage Legacy Bucket Reader权限时就会将存储桶内容遍历进去并且能够读文件内容。

当存储桶配置了allUsers领有 Storage Legacy Bucket Owner、Storage Object Admin或者Storage Legacy Bucket Writer 权限时，任何用户都能够上传任意文件到存储桶并笼罩曾经存在的文件。

Github代码中泄露
网站JS代码

拜访权限管制为对立时，对象拜访权限齐全由存储桶级权限 (IAM) 进行管制。

间接拜访存储桶发现AccessDenied。

查看Bucket IAM策略。

上图标识局部示意所有的谷歌认证用户都有权有权获取和设置任意 IAM 策略，通过gsutil去批改IAM策略。

再次去拜访存储桶

拜访存储桶对象时提醒AccessDenied

当拜访权限管制为精密管制时，查看Object ACL,发现所有谷歌认证用户都能批改Object ACL。

gsutil acl ch -u allUsers:R gs://new2_test/1.txt

批改ACL后任何用户都能够拜访。