红队视角下的公有云基础组件安全

最新推荐文章于 2024-07-10 10:48:32 发布
原创 最新推荐文章于 2024-07-10 10:48:32 发布 · 1.1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #公有云 #云原生 #红队视角 #公有云基本服务 #云计算

前言

“公有云是为广大用户、个人或企业提供的云基础设施。公有云就是第三方公有云供应商为用户提供可通过互联网访问的虚拟环境中的服务器空间。然后,用户可以通过购买云服务器、数据存储和其他与云相关的服务等公有云服务来访问这些服务器。虽然用户可通过互联网访问公有云,但数据将通过虚拟化与其他用户的数据隔离,以提高安全性。公有云供应商还主动确保其服务器不受漏洞影响,并使用最新的软件补丁进行更新。但最终还是由使用者负责数据在云中的使用,包括访问、身份验证、加密和应用程序配置。”

随着越来越多的企业将应用、存储上云,各大公有云提供了各种 IaaS、PaaS、SaaS 服务,针对公有云各组件的攻击面也伴随而生。公有云厂商在尽可能保证组件安全的前提下,由于各种基础配置还是由用户决定,因此仍然存在很多安全风险。

本文主要从红队视角讲述公有云基本服务中一些因配置问题产生的安全风险。

编者注:以下所有内容仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

目录

 ● 云存储

 ● 云计算

 ● 容器集群

 ● 中间件

云存储

至于为什么一上来就讲述云存储,是因为目前很多云厂商使用自己原生的云存储去操作其他基本组件,很多功能都是基于对象存储完成的,所以,首先讲述云存储的安全问题,为以下攻击面做准备。

在对象存储中,用户所上传的文件都是以对象形式存储在云端,以对象形式形式存在的文件不具备可执行权限,再加上提供无层次结构的分布式存储产品,为用户提供单价较低且快速可靠的数据存储方案,所以现在的大趋势下很多企业选择将自己所有的静态文件(图片、网站静态文件、视频等)搬迁至对象存储上,由于对象存储一般都是托管在第三方,企业在自身安全建设时往往会忽视掉这一点,殊不知不安全的配置,也会带来很多安全问题。

国内常见的几家云厂商的对象存储如下:

腾讯COS:

https://cloud.tencent.com/product/cos

阿里OSS:

https://www.aliyun.com/product/oss
百度BOS:

https://cloud.baidu.com/product/bos.html
华为OBS:

https://www.huaweicloud.com/product/obs.html

七牛Kodo:

https://www.qiniu.com/products/kodo
又拍云USS:

https://www.upyun.com/products/file-storage

访问控制

创建空间时,可设置为公开空间或私有空间。

图片

●公开空间:可通过文件对象的 URL 直接访问。

●私有空间:文件对象的访问则必须获得拥有者的授权才能访问。

如果设置为公开空间,则任何知道URL链接的人都能访问,此类空间适合存放公共文件,如网站静态资源、用户头像等公开资源(理论上你的文件名设置得足够复杂,在一定程度上也能保证安全性,但还是不建议这样做),针对敏感文件,尽量还是选择私有空间,私有空间在访问时一般要加上签名信息才能访问。

目前大部分云厂商会提供类似https://bucket.s3-china-region.cloud.com/?ak=xxxx&sgin=xxxx&time=16xxxx的类似AWS S3 签名URL形式,或者直接兼容S3协议,以提供下载、上传、管理API,具体参数意义如下:

● AK用于控制用户权限

● Sign用于验证签名,一般的云厂商都会把AK、domain、URI、Query、Header等请求特征、身份特征以及时间戳拼接在一起,然后使用SK做为盐值进行hash,来生成最后的Sgin,用于校验此数据包是否合法。

● time是时间戳,用户标识此URL过期时间

上传风险

通过查阅相关文件,我们可以知道使用表单上传文件到 OSS的技术方案里,有三种实现方式:

1、在客户端通过JavaScript代码完成签名,然后通过表单直传数据到OSS。

2、在服务端完成签名,然后通过表单直传数据到OSS。

3、在服务端完成签名,并且服务端设置了上传后回调,然后通过表单直传数据到OSS。OSS回调完成后,再将应用服务器响应结果返回给客户端。

密钥泄露

在对象存储的SDK中,一般都会存在JavaScript的SDK,也就是支持用户前端上传的组件。

https://github.com/ali-sdk/ali-oss

一般来说,在安全的配置下,前端上传会使用子用户、或者临时密钥(STS token)的方式来进行,但是由于不严谨的开发,前端js文件、APK文件硬编码AK / SK的情况还是司空见惯,一般来说只需要在burpsuite里面搜索对应云AK的名字,例如AccessKey、SecretKey等。

图片

拿到了AccessKey、SecretKey就可以实现对OSS的完全控制,常见的方法有利用官网提供的API或者开源工具等对OSS进行管理操作。

任意文件覆盖

在某些业务场景下,可能会存在如下流程:

1、首先结合时间戳生成一个随机文件名

2、通过此文件名信息在后端获取该文件的上传签名

3、最后通过PUT或者POST上传

图片

这个时候,由于上传的路径是我们控制,所以我们可以通过修改签名路径的形式,来进⾏签名,从⽽去覆盖此存储桶下的任意⽂件:

最低0.47元/天 解锁文章

200万优质内容无限畅学
公有云组件
weixin_55282711的博客
09-05 294
OpenStack可以用于构建私有云、公有云或混合云环境。它是一个开源的云计算平台,可以根据需求进行部署和配置。因此,OpenStack既可以用于构建私有云,也可以用于构建公有云
云部署中的 公有云 私有云 混合云 社区云 基本概念快速掌握
securitypaper的博客
07-06 1592
常用的云部署和托管模型主要有四种,每种类型都可承载三种主要云服务模型中的任何一 种 公有云、私有云、混合云 社区有
解决对象云存储获取桶内全部文件时数据不全问题
尽我所能,分享开发问题的解决方式
09-24 926
腾讯云为我们开发者提供了getNextMarker()方法,通过这个方法返回的信息用于下次查询使用,可以理解为批次码,第一批次、第二批次......。当getNextMarker()返回为空时表示已经list到文件列表末尾处,由此可得到存储桶全部文件信息。在众多对象云存储产品中,为了保证单次请求的效率,往往会做分批次调用来保障响应效率,因此在一次请求中无法实现获取全部文件信息。由此可见,腾讯云对象存储服务单次list只返回1000个,若超过1000个文件,那么在获取数据时就会不准确。
滥用云服务进行传播的恶意软件越来越多
最新发布
FreeBuf_的博客
07-10 1762
由于云服务提供了传统方式所不具备的可扩展性、匿名性和容错性,攻击者越来越多地开始利用云服务来存储、分发和建立 C&C 信道,例如 VCRUM 存储在 AWS 上或 SYK Cryptor 通过 DriveHQ 进行分发。过去的一个月内,研究人员一直在监控使用这种策略的僵尸网络,例如 UNSTABLE 和 Condi。攻击者利用云服务进行恶意软件分发、C&C 通信,这使得防御者更难以察觉攻击。
红队视角下的公有云基础组件安全(二)
moresec的博客
01-23 1763
照比国内厂商,国外厂商对DNS的管控有极高的自由度,在国内厂商,当无法验证你的根域名解析到相应平台的时候,是不会对你的域名进行任何解析的,这一点也是很好的保护了我国公民的网络安全,而国外的云厂商是不会对你的域名进行Name Server的验证的,所以,你可以在境外平台例如Azure、Google、AWS等等去解析不属于你的域名。这些存在的接口都会导致一个问题,那就是攻击者可以在域外、公网上进行域用户的暴力破解,因为真实的流量不会在云内网或者主机上发出,所以任何的安全设备也不会对它进行告警。
实战攻防之红队视角下的防御体系突破.docx
08-23
实战攻防之红队视角下的防御体系突破
近源渗透之红队视角WiFi.pdf
03-24
要基础设施,但由于普遍缺乏有效的管理,部署与 使用人员的安全意识和专业知识的不足,导致AP分 布混乱,设备安全性脆弱,无线网络也越来越多的 成为黑客入侵企业内网系统的突破口,由此给企业 带来新的安全威胁。
「工控安全」实战攻防之红队视角下的防御体系突破 - WEB应用防火墙.zip
11-27
「工控安全」实战攻防之红队视角下的防御体系突破 - WEB应用防火墙 身份管理 工控安全 安全研究 安全研究 网络安全
STS临时授权OSS操作权限报“Access denied by authorizer‘s policy”错
weixin_40779215的博客
11-18 2442
问题描述 使用STS临时授权OSS进行上传、下载等操作时,涉及到如下报错的排查方法。 ErrorCode: AccessDenied ErrorMessage: Access denied by authorizer’s policy. 问题原因 该报错是获取STS token代码中的policy参数的授权问题导致,如下Java获取token的Demo代码所示,其中的Policy设置代表token的policy权限设置,最终的token权限是用户角色的授权和代码中policy权限的交集。 解决方案 http
文件储存系统minio的简单使用
weixin_46244630的博客
11-22 2330
minio
对象存储遍历文件url漏洞处理
weixin_42749814的博客
01-28 1946
访问时,会得到一个超大的XML,原来minio的桶有一个listObjects的功能,默认最多1000条记录,这就意味着,如果你打开永久下载链接模式,那么任何人可以通过桶路径来获取你保存的所有资源的信息,然后一个一个下载下来。http://minio_out_url/bucket_path/ 展示无权限。minio public桶禁止在直接访问桶位置时列出所有文件url,这就需要对minio地址进行设置。这里临时开下权限,屏蔽MINIO_BROWSER。2、点击bucket_path 设置权限。
minio数据泄露的高风险问题
顽刀3j%es(3Qm$d1
09-23 6038
如果应用中存在大量的图片,音频,视频,或者文件等资源,最好的办法不是把它们放在静态目录下,而是保存到资源服务器oss上。 目前可选的资源服务器挺多,比如FastDFS,Minio,AWS/S3等,云服务器供应商也提供资源服务器OSS租用。但最舒心的方式还是自己搭建一个私有资源服务器,比如Minio。 为什么选择Minio呢?因为实在是太简单易用了,功能却很强大。但Minio不注意使用的话,会存在一个超级大的信息泄露的风险。 简单说,就是如果你想要提供永久性的资源下载链接,就需要把Bucket(桶)的B
分享阿里云(公有云)学习思路
Ghqjwh的博客
02-20 1410
在企业中,公有云作是不可分割的一部分,每个互联网公司都需要用到,当然公有云也有很多,但其实都大差不差,现在市面上常用的几个,阿里云、腾讯云、金山云、等等还有非常的多。本期我们就抓一个来讲也是我们最长用的阿里云。
Flutter学习第七天 flutter布局
jsp13270124的博客
03-11 2174
这个转自我自己的有道云 想看图片去那里 文档:Day3_6 flutter布局.md 链接:http://note.youdao.com/noteshare?id=b6399e53df489374f116abb23d83e05b&sub=6FA1E0BAA448462594B2D4318C5BACCF flutter布局 一些问题 flutter 是不支持热更新的 苹果它禁止热更新 fl...
什么是公有云、私有云、混合云?
林在闪闪发光的博客
07-20 645
🏆今日学习目标:🍀什么是公有云、私有云、混合云?
国内外公有云对比:功能介绍、性能测试
热门推荐
阳光岛主
09-04 3万+
国内外云计算市场再一次风起云涌。这一次热潮与以往热潮最大的不同,就是开始玩真的了。微软、AWS、阿里、百度、新浪、腾讯、360、IBM以及大量新兴企业,纷纷宣布近期在国内公有云领域的大动作,要么就是开始落地运营,要么就是推出大量的新服务,还有的开始大大免费牌。就连电子商务网站如同京东、美团都要进来掺乎一下(详见米扑博客:全球云服务商对比:阿里云,太贵了),要在现在公有云起步阶段站稳脚跟。
OpenStack原理框架及在大型公有云可用性分析
LDF-Dicky的博客
08-24 2622
一、组件框架  OpenStack项目是一个开源的云计算平台,旨在实现很简单,大规模可伸缩,功能丰富。来自世界各地云计算开发人员和技术人员共同创建OpenStack项目。OpenStack通过一组相关的服务提供一个基础设施即服务(IaaS)解决方案。每个服务提供了一个应用程序编程接口(API),促进了这种集成。根据您的需要,你可以安装部分或全部服务。下表描述了构成OpenStack架构的Open...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值