如何停止列出 Firebase 存储公共存储桶中的所有项目?

【问题标题】:How to stop listing all items in a Firebase Storage public bucket?如何停止列出 Firebase 存储公共存储桶中的所有项目?
【发布时间】:2022-11-30 17:42:23
【问题描述】:

我使用 Firebase 存储创建了一个公共存储桶。规则允许任何人阅读这些文件。问题在于,通过公共链接,用户可以使用部分 URL 列出目录中的所有内容。这可能会导致 IDOR 漏洞。

知道如何保持文件公开但停止列出 Firestore 存储桶中的目录项吗?

【问题讨论】:

  • 您是否使用 ACL 或 IAM 来管理访问?使用 Google Cloud Storage 中配置的详细信息编辑您的问题。
  • 你能提供约翰汉利询问的细节吗?
  • 我没有在 GCP 上配置 IAM,所以我假设它应该是 ACL。存储桶是使用 Firebase UI 创建的,它不提供选择特定访问控制方法的选项。或者也许我不知道在哪里寻找这个。
  • Firebase 存储是云存储。转到 Google Cloud Console 并检查。

标签: firebase google-cloud-platform


【解决方案1】:

默认情况下,存储桶上的 ACL 授予 READ 访问权限,这导致任何人都可以访问对象。为防止列出对象,请确保用户在存储桶本身上没有 ACL。

运行以下评论以实现此目的

gsutil acl ch -d AllUsers gs://yourbucket

如果您希望使用 IAM 配置,请为 allUser 应用 Cloud Storage Legacy - Storage Legacy Object Reader,它不包括在存储桶中列出对象的权限。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2022-10-14
    • 2016-09-18
    • 2017-01-29
    • 1970-01-01
    • 2017-03-07
    • 2022-01-18
    • 2020-12-14
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode