NEWS日本游戏开发商 Ateam 称,自 2017 年 3 月以来,公司错误地将Google Drive 云存储账户设置为“任何有链接的人都可以查看”,这个简单的配置错误或已导致近 100 万人在6...
云抢注:攻击者如何利用已删除的云资产进行攻击
我们正处于云计算时代,虚拟服务器和存储空间之类的资源常常在需要时通过部署脚本以编程方式提供。虽然启用这类资产的过程很快,但删除它们时就没有那么简单了,仅仅删除云资产,就可能为攻击者提供安全漏洞的风险。...
攻击者如何使用已删除的云资产来对付你
我们正处于云计算时代,虚拟服务器和存储空间等资源通常根据需要通过部署脚本以编程方式进行配置。虽然启动此类资产几乎是一个即时过程,但在不再需要它们时删除它...
云安全-存储桶任意文件上传/域名接管/key泄露
云安全是一组程序和技术的集合,旨在解决企业安全所面临的外部和内部威胁。企业在实施其数字化转型策略,并将各种云端工具和服务纳入企业基础架构中时,需要云安全保障业务顺利进行。各大厂商阿里云:OSS 腾讯云...
【云原生渗透】- 通过WIZ IAM挑战赛熟悉云IAM漏洞及工具
前言云IAM 介绍挑战赛 第一关 IAM 策略类型 &nb...
顶级云渗透测试工具
#1 WeirdAAL:一个 AWS 攻击库 创作者:克里斯·盖茨 ( @carnal0wnage ) 为什么我们喜欢它:关于信息安全,我喜欢的一件事是人们为工具和谈话想出的名字,这就是一个例子。除此...
【AWS 安全系列】Amazon S3 配置错误(上)
打算出一个系列文章,分几篇讲解 AWS 的安全问题,本篇先介绍 Amazon S3 基本概念,并且搭建一个实验环境。近年来云平台上的数据泄漏经常发生,其中经常听到的就是 aws s3 数据泄漏,今天就...
基于 cookie 的 XSS
基于 cookie 的 XSS 我正在测试 terrahost.no 主域。有一个功能,我可以选择服务,然...
(S3 存储桶泄露的风险)火币用户侥幸逃过一劫
全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。火币无意中共享了一组凭证,授予其所有 Amazon Web Services S3 存储桶写入权限。...
新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为...
劫持 S3 存储桶:供应链攻击者在野外利用的新攻击技术
在不更改任何一行代码的情况下,攻击者通过劫持服务于其功能所需的二进制文件的 S3 存储桶并将其替换为恶意文件来毒害 NPM 程序包“bignum”。虽然这种特定的风险得到了缓解,但快速浏览一下开源生态...
云存储攻防之Bucket文件覆盖
版本控制版本控制用于实现在相同存储桶中存放同一对象的多个版本,例如:在一个存储桶中您可以存放多个对象键同为picture.jpg的对象,但其版本ID不同,例如:1000、1001和1002等,用户在为...
5