0x00 TL;DRThis document records how to set up the S3 bucket policy so that it can only be accessed b...
AWS S3 subdomain takeover
浅析 AWS S3 子域名接管漏洞 0x00 前言哈喽,大家好,我是童话。 前段时间和 @鶇 师傅讨论了一个特殊场景下的子域名接管漏洞,蛮 trick 的一个利用方法。我们见到有白帽子确实利用成功了,...
Smogcloud - AWS external network asset discovery platform
0x00 前言对于一家大量采用AWS的甲方企业来说,如何实时的发现暴露在外网的AWS资产对其进行企业安全建设来说则至关重要。这些暴露在外面的AWS资产就是潜在的攻击面,我们可以这些资产进行更高优先级的...
AWS多项服务存在漏洞,能让攻击者完全控制账户
关键词安全漏洞据The Hacker News消息,网络安全研究人员在 Amazon Web Services (AWS) 产品中发现了多个严重漏洞,如果成功利用这些漏洞,可能会导致严重后果。根据云安...
AWS多项服务存在漏洞,能让攻击者完全控制账户
据The Hacker News消息,网络安全研究人员在 Amazon Web Services (AWS) 产品中发现了多个严重漏洞,如果成功利用这些漏洞,可能会导致严重后果。 根据云安全公司Aqu...
专家发现AWS存在 RCE、数据窃取和全服务接管的严重漏洞
网络安全研究人员发现了亚马逊网络服务 (AWS) 产品中存在多个严重缺陷,如果成功利用,可能会导致严重后果。云安全公司 Aqua 在与 The Hacker News 分享的详细报告中表示:“这些漏洞...
S3影子存储桶使AWS帐户容易受到攻击
研究人员发现了一种名为“影子资源”的新攻击向量,攻击者可以通过预先创建具有可预测名称的S3存储桶,利用AWS服务和第三方工具的自动化功能,从而获得对AWS账户的控制权或访问敏感数据,该漏洞涉及多项AW...
AWS SSRF漏洞可在生产实例上获得Root权限(015)
标题:AWS SSRF to Root on production instance — A bug worth 1.75Lacs 作者:Avinash Jain (@logicbomb) 原文地址:...
VolWeb:集中式增强型数字取证内存分析平台
关于VolWebVolWeb是一款最新开发的集中式增强型数字取证内存分析平台,该平台基于Volatility 3框架实现其功能,该工具旨在辅助广大研究人员执行安全分析和事件应急响应等任务。VolWeb...
Aardvark:一个针对多账户AWS IAM访问与身份管理的API框架
关于Aardvark Aardvark是一个针对多账户AWS IAM访问与身份管理的API框架和缓存层,该工具可以帮助广大研究人员在一个平台下轻松管理多个AWS账号的IAM安全。 工具要...
调制解调器遭入侵后,我调查发现了大漏洞!
本文经授权转自公众号CSDN(ID:CSDNnews)作者 | Sam Curry,责编 | 夏萌译者 | 弯月本文作者通过偶然间发现了网络上存在的一个漏洞,顺藤摸瓜,有了一些意外的发现。原文链接:h...
AWS S3 Bucket配置错误导致敏感信息泄露
前言AWS(Amazon Web Services)是亚马逊公司提供的一个安全的云服务平台,旨在为个人、公司和政府机构提供计算能力、存储解决方案、内容交付和其他功能。作为全球领先的云服务提供商之一,A...
38