基于云的存储错误配置 -> 关键赏金

存储错误配置带来的重要奖励！

大约一年半前，我和一位朋友开始研究基于云的存储。我立刻对设置这些存储容器背后的过程着迷，无论是 AWS S3 Buckets、Azure Blob 还是 Google Storage Buckets。该过程仅涉及一系列控制容器配置的复选框。我和我的朋友注意到在这个过程中犯错误是多么容易，尤其是如果你不知道每个选项的含义以及错误配置的后果。

AWS S3 存储桶设置过程的一部分。

我 最初的想法是开发一个工具，让我能够快速扫描大量 S3 存储桶并查找此类错误配置。一个非常简单的工具是用 python 编写的，它允许我对 *.s3.amazonaws.com 进行子域枚举并遍历枚举域以查找启用的目录列表，这是 S3 存储桶配置错误的一个很好的指标。您可以在下方看到正确配置和错误配置的 S3 存储桶之间的区别。

正确配置的私有存储桶。

包含 SQL 备份的私有存储桶配置不正确。

该工具的构建非常简单，因为区分正确和错误配置的存储桶很容易实现。此外，由于在大多数这些错误配置的存储桶上启用了目录列表，因此很容易解析我可能感兴趣的任何文件扩展名和关键字。我们在扫描功能中实现的常见扩展名和关键字是：sql、sql.gz、backup.zip、backup.gz、backup.tar、backup.tar.gz 等等。

上面的第二张图片显示了对于包含与我们的关键字/扩展名匹配的敏感敏感文件的错误配置的存储桶，真实的正面命中会是什么样子。您可以看到 sql.gz 文件的存在，在本例中，该文件是 SQL 数据库的备份。在这些文件中，通常包含帐户数据、密码和 PII 等敏感信息。

完成该工具的开发并分析了前几次扫描的数据后，我决定进行更多研究以尝试扩大我们的攻击面并找到更多要扫描的存储桶。这样做后，我偶然发现了https://buckets.grayhatwarfare.com/，它基本上为我完成了工作。这个站点对于这个研究领域来说简直是不可思议的，它目前有 347683 个 S3 存储桶被扫描和索引，还有 24444 个 Azure Blob 也被扫描和索引。Grayhat 是一个用户友好的网络应用程序，它允许您使用关键字和扩展名搜索索引数据，非常像我最初的简单 python 脚本。我应该补充一点，Grayhat 还附带了一个非常有用的 API！

https://buckets.grayhatwarfare.com/

现在最初的攻击面问题已经解决了，我决定充分利用 Grayhat 及其 API。我改变了我的方法来创建一个 python 工具，它允许我使用 API 来发出大量请求和包含有趣文件的过滤桶/blob。我还将使用以下命令检查我报告的任何存储桶是否可写：aws s3 cp proof.txt s3://[BUCKET_NAME] — no-sign-request。这通常会进一步增加影响，因为您可以在公司存储上托管恶意文件，甚至只是支付昂贵的 AWS 账单。这绝对是您可以尝试任何有赏金计划的桶！

这样做我有很大的运气，这导致了 Bugcrowd 的两个关键赏金（见下文）。我不仅因为存在于赏金计划中的这两项奖励而获得奖励，而且我还获得了大约 15 家公司的私下现金奖励，他们非常感谢我负责任的披露。我仍然与少数这些公司保持联系，并对他们添加到平台的新功能进行例行测试，以确保它们是安全的。这项研究是我与公司建立关系并发展我的经验的好方法。我强烈推荐给任何有兴趣的人！

存储错误配置带来的重要奖励！

总之，基于云的存储很棒，但很容易犯灾难性错误。如果您正在设置它们，请确保在上传任何敏感文件之前自己测试访问控制。我还建议任何热衷于开始这项研究的人使用 Grayhat，因为它是一项令人难以置信的资产。仍然有许多公共存储桶带有 SQL 数据库备份，因此请尽您的一份力量，并通过负责任地披露您的发现来帮助保护这些公司。

我也很乐意分享我开发的任何工具，所以如果您对它们感兴趣，请联系我！

原文始发于微信公众号（Ots安全）：基于云的存储错误配置 -> 关键赏金