【云安全】AccessKey泄露-安全问题分析

admin 2025年1月13日09:46:51评论16 views字数 2015阅读6分43秒阅读模式

AccessKey泄露是所有依赖API访问的云服务都会面临的潜在安全风险。AccessKey是云服务中常用的身份认证凭证,如果泄露,攻击者可能会冒充合法用户进行操作,带来严重的安全隐患。

什么是 AccessKey?

通常包括以下两个部分:

AccessKeyID(AKID):用于标识用户身份。AccessKeySecret(AKSecret):用于验证身份,类似密码。

它们用于用户通过编程接口(API/SDK)访问云服务时的身份认证。

阿里云RAM界面下AccessKey入口

【云安全】AccessKey泄露-安全问题分析
【云安全】AccessKey泄露-安全问题分析

类似于一套复杂的用户名和密码,可下载到本地保存

【云安全】AccessKey泄露-安全问题分析

泄露危害

  1. 数据泄露:攻击者可以使用泄露的AccessKey登录云服务账号,并获取敏感数据或修改数据。这可能导致用户数据泄露、个人隐私曝光等问题。
  2. 资源滥用:攻击者可以使用泄露的AccessKey创建或删除云资源,执行消耗大量资源的操作,导致用户的云服务账号被频繁使用或资源被滥用,引发费用增加等问题。
  3. 服务中断:攻击者可能使用泄露的AccessKey执行破坏性操作,如删除重要数据、停止关键服务等,导致用户的业务中断,造成重大损失。
  4. 身份冒充:攻击者可以使用泄露的AccessKey冒充用户身份,进行未经授权的操作,例如发送恶意邮件、发起网络攻击等,对用户和其他人员造成损害。
  5. 可溯源攻击:通过泄露的AccessKey,攻击者可以获取到用户的云服务账号和相关信息,进而可能对用户发起更加有针对性的攻击,如社会工程学攻击、钓鱼网站等。
【云安全】AccessKey泄露-安全问题分析
【云安全】AccessKey泄露-安全问题分析

泄露途径

1.源代码存储库:如果您的源代码存储库(如GitHub或Bitbucket)公开了您的代码,其中可能包含了云服务access key,攻击者可以通过查看代码获取这些敏感信息。

【云安全】AccessKey泄露-安全问题分析

2.日志文件:如果您将云服务access key写入日志文件中,并且这些日志文件被公开访问或者被攻击者获取到,那么他们可以利用这些信息进行未经授权访问云服务。

3.配置文件:如果您的应用程序或系统配置文件中明文存储了云服务access key,并且这些配置文件被不恰当地共享、存储或传输,攻击者也可以通过获取这些配置文件来获取access key。

4.开发环境和测试环境:在开发和测试环境中,通常需要使用云服务access key来进行调试和测试。如果这些环境没有得到适当的保护,攻击者可以获取到这些敏感信息。

5.APP/小程序编译打包时被嵌入:在应用程序或小程序的编译打包过程中,如果access key被不适当地嵌入到二进制文件、APK或IPA中,攻击者可以通过解析这些文件来获取access key。

6.第三方应用程序:如果您使用了第三方应用程序或服务来管理和监控云服务,这些应用程序可能会要求您提供云服务access key,如/actuator/heapdump。如果这些应用程序没有得到适当的保护或者存在安全漏洞,攻击者可以通过攻击这些应用程序获取到云服务access key。

7.前端文件:当前端开发人员在编写代码时,可能会将包含AccessKey的密钥或凭证直接硬编码到前端文件(如HTML、JS文件)中,这样在前端代码执行时就可以直接获取到AccessKey,并用于与云服务进行交互。然而,一旦这些文件被存储在公开的位置或未受保护的服务器上,攻击者就有可能获取到这些文件,并窃取AccessKey。

【云安全】AccessKey泄露-安全问题分析

如何发现

作为安全测试者,我们如何挖掘该安全问题

1、这里推荐一篇文章:AccessKey 特征整理 | T Wiki
https://wiki.teamssix.com/cloudservice/more/
2、Burpsuite插件HaE
https://github.com/gh0stkey/HaE?tab=readme-ov-file

后续利用

这里使用狼组安全团队的云鉴工具,项目地址链接:

https://github.com/wgpsec/cloudsword

1、cloudsword命令启动工具

【云安全】AccessKey泄露-安全问题分析

2、list查看功能模块

【云安全】AccessKey泄露-安全问题分析

3、use命令选择一个功能模块进行使用

4、设置我们获取到的AK和SK,run命令执行利用

【云安全】AccessKey泄露-安全问题分析

5、获取到受害者云资源信息

【云安全】AccessKey泄露-安全问题分析

【云安全】AccessKey泄露-安全问题分析

如何避免

  1. 将云服务access key存储在安全的地方,比如密码管理工具或加密存储中。
  2. 避免在源代码存储库、日志文件和配置文件中明文存储access key。
  3. 使用适当的访问控制和权限设置来限制对云服务access key的访问。
  4. 定期审查和更新云服务access key,以确保其安全性。
  5. 尽量避免在开发和测试环境中使用真实的云服务access key,可以使用临时凭证或虚拟账号来进行测试和调试。
  6. 仔细评估并选择可信赖的第三方应用程序,并确保其有良好的安全措施来保护云服务access key。

结尾

写这篇文章的初衷是记录和分享我的学习心得,但技术的发展日新月异,如果各位大佬有不同的想法或建议,欢迎指正,也期待与您一起探讨交流!

原文始发于微信公众号(仇辉攻防):【云安全】AccessKey泄露-安全问题分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月13日09:46:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【云安全】AccessKey泄露-安全问题分析https://cn-sec.com/archives/3623575.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息