阿里云 OSS 被用于诈骗网站

95 天前
 lns103

在其它地方看到,转过来,不知道这个的具体原理是什么

这个 jpg 实际上是一个 html ,直接访问是会被拦截的,但是加上后面的参数就可以访问了,希望有大佬来解析一下

诈骗链接: 

https://blj-prod.oss-cn-shenzhen.aliyuncs.com/material/default/default/2bc4767a-9b62-4254-8513-0ae88ca82f14.jpg?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==#sbm=Vpyd1G5oAy

诈骗传单图片:

诈骗“jpg”的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title></title>
		<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0,user-scalable=no,minimal-ui"/>
        <style type="text/css">
            html, body {
                height: 100%;
                margin: 0;
                padding: 0;
            }
            iframe {
                display: block;
                width: 100%;
                height: 100%;
                border: none;
            }
        </style>
    </head>
    <body>
        <script src="https://pro.jsmaodian.top/jsqiantao.js"></script>
    </body>
</html>
4399 次点击
所在节点    信息安全
36 条回复
lujiaxing
95 天前
所以你们以为阿里云 域名是因为啥被拖进 sinkhole 的?
十有八九是上面大量的灰产黑产触发什么自动机制了.
ala2008
95 天前
居然可以是假的 jpg ,那为什么不直接用 html 呢
coldle
95 天前
@ala2008
境内对象存储一般否不允许用他们的域名预览 html
pkoukk
95 天前
@dzdh #17 如果真的允许,那为什么要伪装这一下呢?直接就用 html 不好么
macaodoll
95 天前
这种东西防不了的,有很多小白,为了水点博客文章,就把项目上的 oss 代码直接贴出来,ak sk 都不脱敏一下.
mercury233
95 天前
oss 公开访问时防了 html 不防 xml ,属于严重的漏洞
sampeng
95 天前
不是。。你们是不是认为只有中国的黑产叫黑产,全球范围就不算了?阿里云有这毛病,aws 之类的都差不太多的。问题不是在 oss ,问题是在支付宝和微信他无法拦截或者说拦截成本巨高,要么,干脆完全不允许外链,把 oss 外链加黑名单这两家都别活了。还有。这个和前几天没半毛钱关系,微信和支付宝的被害人跑去美国投诉?????
coldle
95 天前
试了下还真不太对劲。。阿里居然没强制返回 `Content-Disposition: attachment`
coldle
95 天前
@coldle #28
破案了,阿里的预览拦截是按 Content-Type 白名单来的,然后他们的白名单里没有 xml

阿里文档: https://help.aliyun.com/zh/oss/user-guide/how-to-ensure-an-object-is-previewed-when-you-access-the-object?spm=a2c4g.11186623.0.i4

那确实随便用 xml 模拟 html 了 🤣

比如上传一个对象内容如下,Content-Type 设置成 application/xml 就 ok 了

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>XML 模拟 HTML 示例</title>
</head>
<body>
<p>这是一个 xml 模拟 html 的示例</p>
<br />
<form>
<input type="checkbox" id="option1" />
<label for="option1">选项一</label><br />
<input type="checkbox" id="option2" />
<label for="option2">选项二</label><br />
<input type="checkbox" id="option3" />
<label for="option3">选项三</label>
</form>
</body>
</html>
coldle
95 天前
@coldle #29
刚注意到最后一行是全部限制了,应该只有老用户可以这么玩
xiaozecn
95 天前
你们会相信阿里是无辜的么🫣
fkdtz
95 天前
这么干相当于把 oss 当做云主机了,攻击者不需要搞域名备案,直接把恶意页面搞里头,域名是 aliyuncs.com 背书,这招太妙了。
怪不得阿里云现在限制不做自定义域名的 oss 必须下载文件,不给预览了,只有早期创建的 oss bucket 还没强制。
dzdh
94 天前
@pkoukk #24 那是为了欺骗微信、qq 等其他社交软件,让这些软件误认为是图片然后绕过某些安全检测认证,等真正点开的时候,浏览器发现是 html 就以 html 展示了。
zishang520
94 天前
哈?这不是我发布到 tg 和 x 安全情报社上的么
lns103
94 天前
@zishang520 就是在 tg 上看到的😂
Nldgdsm
91 天前
@lns103 #35 请问是哪一个 tg 群呢,可以分享下么

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1137419

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX