溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何進(jìn)行接管AWS S3 bucket

發(fā)布時間:2021-12-23 10:49:03 來源:億速云 閱讀:360 作者:柒染 欄目:網(wǎng)絡(luò)管理

如何進(jìn)行接管AWS S3 bucket,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

什么是AWS S3 bucket

Amazon S3(Simple Storage Service)是一個簡單的云存儲器。

所有類型的文件都可以存儲在這個服務(wù)中,

但是網(wǎng)頁開發(fā)者通常用它存儲靜態(tài)文件,

例如圖片、JavaScript 文件和層疊樣式表文件。

漏洞原理

如果開發(fā)人員刪除了整個數(shù)據(jù)和S3 bucket,但是綁定的CNAME記錄中仍然有待刪除的AWS控制臺。這種情況下,攻擊者可以使用任何其他AWS賬戶聲明該S3 bucket。從而導(dǎo)致攻擊者利用S3 bucket賬戶接管漏洞進(jìn)行攻擊。

漏洞復(fù)現(xiàn)

我們通過fofa收集對應(yīng)資產(chǎn)

如何進(jìn)行接管AWS S3 bucket

訪問出現(xiàn)如下頁面則說明可接管

如何進(jìn)行接管AWS S3 bucket

訪問出現(xiàn)如下頁面說明不可接管

如何進(jìn)行接管AWS S3 bucket

登錄阿里云,選擇對象存儲

如何進(jìn)行接管AWS S3 bucket

創(chuàng)建bucket

如何進(jìn)行接管AWS S3 bucket

Bucket名稱處填寫獲取到的bucketname,然后點(diǎn)擊確定

如何進(jìn)行接管AWS S3 bucket

到此我們已經(jīng)完成了接管,下面通過文件管理來驗證一下

如何進(jìn)行接管AWS S3 bucket

如何進(jìn)行接管AWS S3 bucket

訪問驗證存在

如何進(jìn)行接管AWS S3 bucket

修復(fù)建議

刪除CNAME記錄

看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章,請關(guān)注億速云行業(yè)資訊頻道,感謝您對億速云的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI