aksk | CN-SEC 中文网

安全文章

一次后台登录到AKSK泄露至云上服务器接管

前言一次若依框架下的漏洞，由于用户名密码明文回显前端导致可直接登录后台从而引发一次aksk泄露到云上服务器接管测试打开网站就是若依框架，而且用户名密码还因配置问题直接在前端显露，我想着先登录进去看看是...

04月08日9 views评论

阅读全文

安全文章

【SRC实战】aksk泄露导致云主机接管

“ 以下漏洞均为实验靶场，如有雷同，纯属巧合 ” 01—漏洞证明 1、进入到我的页面 2、返回包泄露accessKeyId和accessKeySecret 3、根据accessKeyId云特征判断为阿...

02月20日27 views评论

阅读全文

安全文章

云服务器系列科普 | 攻击实战案例

上期我们从对象存储、云服务器、云数据库作为切入点，简单了解一下目前云服务暴露出的一些攻击面和常规的攻击利用手法。本期将通过具体攻击案例，从实战中进一步了解云平台的攻防。攻击案例纵观云安全众多攻击...

02月14日22 views评论

阅读全文

安全文章

云密钥泄露排查与利用思路

背景随着云技术逐步发展，越来越多的业务系统运用云资源来进行服务资源访问。而云资源的aksk密钥对于安全性至关重要，高权限的aksk秘钥可对服务进行接管。如果出现泄露，可能会导致严重的安全风险和...

12月09日74 views评论

阅读全文

安全文章

【云安全】云密钥Key扩展利用

安全背景云AKSK (即云API密钥) 是用户访问云上资源的重要身份凭据，由于开发的不规范和安全漏洞，AKSK被外部攻击者获取进行恶意利用。之前的文章【云安全】云密钥Key泄露，该如何攻击利用及监控防...

10月28日23 views评论

阅读全文

安全文章

【项目实战技巧】记一次项目中的天翼云短信接管

正文部分渗透路径渗透路径概述通过js发现测试环境 --> 转到测试环境测试 --> 获取heapdump敏感信息 --> 获得数据库口令 --> 成果获取管...

10月09日33 views评论

阅读全文

应急响应

聊聊关于云环境下的溯源排查

前言人员复用就不是一个人干几个活了，是吧？逆天发言。啊对对对，您说的都对！免责声明:本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无...

07月23日14 views评论

阅读全文

安全文章

记对某根域的一次渗透测试

原文首发在先知社区https://xz.aliyun.com/t/15026前言两个月之前的一个渗透测试项目是基于某网站根域进行渗透测试，发现该项目其实挺好搞的，就纯粹的没有任何防御措施与安全意识所以...

07月20日22 views评论

阅读全文

安全文章

对某根域的一次渗透测试

前言两个月之前的一个渗透测试项目是基于某网站根域进行渗透测试，发现该项目其实挺好搞的，就纯粹的没有任何防御措施与安全意识所以该项目完成的挺快，但是并没有完成的很好，因为有好几处文件上传没有绕过（虽然从...

07月17日17 views评论

阅读全文

安全文章

云安全 | 云主机秘钥泄露及利用

文章来源: https://forum.butian.net/share/2376 前言：云平台作为降低企业资源成本的工具，在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分，并且由于各类应...

07月03日37 views评论

阅读全文

安全文章

利用Nacos登录绕过漏洞接管多台云主机

Nacos（全称： Naming and Configuration Service）是阿里巴巴开源的一个基于云原生理念构建的动态服务发现、配置管理和服务治理平台。它可以帮助开发者在微服务架构下更轻...

06月11日47 views评论

阅读全文

安全文章

【干货】云主机ak秘钥泄露及利用

前言：由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！云平台作为降低企业资源成本的工具，在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分，并且由于各类应用程序需要与其他内外部服务或...

05月14日84 views评论

阅读全文