对象存储遍历文件url漏洞处理

  • 开发
  • 31

当你用 http://minio_out_url/bucket_path/ 访问时,会得到一个超大的XML,原来minio的桶有一个listObjects的功能,默认最多1000条记录,这就意味着,如果你打开永久下载链接模式,那么任何人可以通过桶路径来获取你保存的所有资源的信息,然后一个一个下载下来

解决方式

minio public桶禁止在直接访问桶位置时列出所有文件url,这就需要对minio地址进行设置

操作步骤

1、登录minio管理后台

这里临时开下权限,屏蔽MINIO_BROWSER

然后到安装目录下重新启动

docker-compose  down

docker-compose  up -d

访问登录页面,密码登录

http://xxxx:9090/

2、点击bucket_path 设置权限

3、编辑custom并去除ListBucket

验证结果

http://minio_out_url/bucket_path/  展示无权限                                                                         

阅读全部

相关推荐

  3. php文件夹

    2024-01-30 11:10:03       42 阅读

  5. 目标 url 存在 host 头攻击漏洞

    2024-01-30 11:10:03       16 阅读

  6. Python 文件夹下所有文件夹文件

    2024-01-30 11:10:03       45 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-01-30 11:10:03       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-01-30 11:10:03       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-01-30 11:10:03       19 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-01-30 11:10:03       20 阅读

热门阅读

  7. go-zero 非k8s单体服务上线流程

    2024-01-30 11:10:03       32 阅读

  9. Debezium发布历史91

    2024-01-30 11:10:03       22 阅读

  11. 【计算机语言】浅谈 — 计算机语言分类

    2024-01-30 11:10:03       45 阅读

  12. 数论与图论

    2024-01-30 11:10:03       34 阅读

  13. STL:list实现

    2024-01-30 11:10:03       37 阅读

  14. http 状态码

    2024-01-30 11:10:03       30 阅读

  20. python的归并排序

    2024-01-30 11:10:03       33 阅读

  23. Filter过滤器学习使用

    2024-01-30 11:10:03       29 阅读

  24. 什么是IDE?新手用哪个IDE比较好?

    2024-01-30 11:10:03       35 阅读

  27. Debezium日常分享系列之:Debezium 2.6.0.Alpha1发布

    2024-01-30 11:10:03       36 阅读

  29. Python 和 LLM 的完美融合之路 (再谈 Function Impl)

    2024-01-30 11:10:03       31 阅读