【警告】使用阿里云OSS套CDN的站长记得别在OSS绑定域名

nnt

阿里云的OSS除了流量费用，还有请求费用！

值得注意的是，对象存储本身有授权策略，但是虽然可以通过此策略保护流量费用，但是此策略本身就是收费的（此策略本身就是调用OSS的API，而OSS的请求费用是记API的请求次数的）！

也就是说，阿里云的OSS总是有可能会被盗刷的，没办法做防护，只能做隐藏！

由于OSS的地域就那几个，对方只需要手动HOST你的域名就能找到你的地域，然后批量发请求（0.01元/万次）。
在网络良好的情况下，通过go语言简单多并发一小时可轻松跑过亿的请求。

如果已经使用了OSS套CDN的站长，可以修改回源HOST，把OSS的地址给隐藏来。

聆听平台原文：

【需求场景】
我通过Bucket 授权策略将某IP进行封禁后，但该IP仍不断访问资源（虽然被策略禁止）。
我注意到OSS计费项中有一项是请求数收费，请问该被禁止的IP不断发送请求是否会使请求数不断累加最终造成扣费的情况。
开工单询问后得知：即使用户被 Bucket 授权策略 禁止下载OSS的文件，但是该用户造成的请求数仍会被计费，这样的话，恶意用户可以无限发送请求来对目标的资产造成损失（OSS请求费用0.01元/万次），单台电脑利用简单的多线程编程可以轻松在短时间内发送上千万甚至过亿的请求。

总结：攻击者可以刷被害者的钱，而被害者没有任何防御措施。除了通过反代把自己藏起来，让他人不知道你用的是阿里云的OSS才行，若对方知道你使用的是阿里云的OSS，即可通过遍历各地域的接入点进行HOST解析，即进行OSS的请求数盗刷。

【改进建议】
Bucket 授权策略 所禁止的请求 不计请求数费用。

工单回复：

您好，您可能没有理解请求数的意思。
请求数是指您对OSS的所有操作都是通过调用OSS API实现的，OSS会根据调用的OSS API次数收取请求费用。

聆听平台回复：

由于在oss文件被访问的过程中，oss资源会根据您的配置确认是否将文件透出，此期间也消耗了oss的资源，这部分费用考虑不会减免。如果您的资源经常遭遇攻击，建议您考虑使用安全产品，例如ddos防护等，具体可以根据您的需求使用。

首发：https://blog.1234234.xyz/archives/12/

nnt

h20 发表于 2021-5-13 22:02
给楼主剑皇一下

我了解之后已经连夜弃用了

xxfoo

感谢提醒

Salta

好的，我知道了

笑花落半世琉璃

这被剑皇一次不得一套房没了

jqbaobao

nnt 发表于 2021-5-13 22:04
我了解之后已经连夜弃用了

我对这个兴趣不大，但是对你的剑皇脚本很有兴趣，能不能分享个

nnt

jqbaobao 发表于 2021-5-13 22:06
我对这个兴趣不大，但是对你的剑皇脚本很有兴趣，能不能分享个

很简单啦，就是用golang写个并发请求，随便google搜一个golang多并发get的demo都能用

nnt

呜呜呜，发帖都没人回复了

Goood

感谢分享提醒