宇宙主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

欧基零壹微头条IP归属甄别会员请立即修改密码
查看: 2096|回复: 10

【警告】使用阿里云OSS套CDN的站长记得别在OSS绑定域名

[复制链接]
发表于 2021-5-13 22:01:15 | 显示全部楼层 |阅读模式
本帖最后由 nnt 于 2021-5-24 01:52 编辑

阿里云的OSS除了流量费用,还有请求费用!

值得注意的是,对象存储本身有授权策略,但是虽然可以通过此策略保护流量费用,但是此策略本身就是收费的(此策略本身就是调用OSS的API,而OSS的请求费用是记API的请求次数的)!

也就是说,阿里云的OSS总是有可能会被盗刷的,没办法做防护,只能做隐藏!

由于OSS的地域就那几个,对方只需要手动HOST你的域名就能找到你的地域,然后批量发请求(0.01元/万次)。
在网络良好的情况下,通过go语言简单多并发一小时可轻松跑过亿的请求。

如果已经使用了OSS套CDN的站长,可以修改回源HOST,把OSS的地址给隐藏来。

聆听平台原文:
【需求场景】
我通过Bucket 授权策略将某IP进行封禁后,但该IP仍不断访问资源(虽然被策略禁止)。
我注意到OSS计费项中有一项是请求数收费,请问该被禁止的IP不断发送请求是否会使请求数不断累加最终造成扣费的情况。
开工单询问后得知:即使用户被 Bucket 授权策略 禁止下载OSS的文件,但是该用户造成的请求数仍会被计费,这样的话,恶意用户可以无限发送请求来对目标的资产造成损失(OSS请求费用0.01元/万次),单台电脑利用简单的多线程编程可以轻松在短时间内发送上千万甚至过亿的请求。

总结:攻击者可以刷被害者的钱,而被害者没有任何防御措施。除了通过反代把自己藏起来,让他人不知道你用的是阿里云的OSS才行,若对方知道你使用的是阿里云的OSS,即可通过遍历各地域的接入点进行HOST解析,即进行OSS的请求数盗刷。

【改进建议】
Bucket 授权策略 所禁止的请求 不计请求数费用。


工单回复:
您好,您可能没有理解请求数的意思。
请求数是指您对OSS的所有操作都是通过调用OSS API实现的,OSS会根据调用的OSS API次数收取请求费用。


聆听平台回复:
由于在oss文件被访问的过程中,oss资源会根据您的配置确认是否将文件透出,此期间也消耗了oss的资源,这部分费用考虑不会减免。如果您的资源经常遭遇攻击,建议您考虑使用安全产品,例如ddos防护等,具体可以根据您的需求使用。



首发:https://blog.1234234.xyz/archives/12/
发表于 2021-5-13 22:02:47 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 发表于 2021-5-13 22:04:07 | 显示全部楼层
h20 发表于 2021-5-13 22:02
给楼主剑皇一下

我了解之后已经连夜弃用了
发表于 2021-5-13 22:06:06 | 显示全部楼层
好的,我知道了
发表于 2021-5-13 22:06:14 | 显示全部楼层
这被剑皇一次不得一套房没了
发表于 2021-5-13 22:06:52 | 显示全部楼层
nnt 发表于 2021-5-13 22:04
我了解之后已经连夜弃用了

我对这个兴趣不大,但是对你的剑皇脚本很有兴趣,能不能分享个
 楼主| 发表于 2021-5-13 22:08:25 | 显示全部楼层
jqbaobao 发表于 2021-5-13 22:06
我对这个兴趣不大,但是对你的剑皇脚本很有兴趣,能不能分享个

很简单啦,就是用golang写个并发请求,随便google搜一个golang多并发get的demo都能用
 楼主| 发表于 2021-5-13 22:48:11 | 显示全部楼层
呜呜呜,发帖都没人回复了
发表于 2021-5-13 23:06:05 | 显示全部楼层
感谢分享提醒
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宇宙主机交流论坛

GMT+8, 2024-10-31 07:30 , Processed in 0.064852 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表