来自 安全 2021-06-10 18:22 的文章

网站安全防护_网站防御查询_快速接入

网站安全防护_网站防御查询_快速接入

ImmuniWeb>后GDPR时代互联网上曝光的安全博客数据库2.2k 54 6 14 16更多17 5 2018年8月28日星期二,阅读时间:4分钟。亚马逊网络服务(AWS)于2006年推出,目前是市场份额领先的云服务平台。它的简单存储服务(S3)特别受欢迎,但用户的错误配置导致了大量重大数据泄露。AWS S3桶S3桶是AWS存储单元,用于增加临时或永久存储容量。它们就像文件文件夹一样,允许用户上传和存储文件和数据,规模巨大且灵活。在某些方面,S3类似于Drobox或微软的OneDrive;但AWS是为专业和企业设计的。AWS的客户群包括Netflix、AOL、Verizon和NASA等组织。它使用起来既简单又便宜,S3存储桶的内容通常包括敏感的公司数据和个人客户信息。AWS安全和合规政策遵循共享责任模型。亚马逊同意保证其基础设施和服务的安全,同时客户对其配置和服务的使用承担责任。例如,由于亚马逊硬件、软件或网络理论上的漏洞而导致的数据泄露,将由亚马逊负责。任何因安全配置错误、滥用云服务或访问管理失败而造成的数据丢失都将被视为用户的错误。任何由于安全错误配置或误用S3存储桶而导致的数据丢失都将被视为用户的错误。S3存储桶如何易受攻击S3存储桶使用简单、通用且安全。因此,自建高防cdn实现故障,IT人员有时会将它们当作内部存储的一部分来使用,而很少考虑安全性,也不考虑安全性团队。在这种情况下,访问控制可能会被忽略——有效地结合了OWASP十大web应用程序安全风险中的两个:敏感数据暴露(排名第三)和安全配置错误(排名第六)。在没有配置访问控制的情况下,任何具有internet连接的人都可以看到S3存储桶的内容。网络罪犯知道S3存储桶能容纳多少敏感和有价值的数据。许多自动工具已经被创建来扫描任何错误配置的桶,让公众可以访问,这样恶意的参与者可以快速找到潜在的有利可图的数据源。方法各不相同——有些工具简单地强制存储桶检查打开的存储桶,而其他工具则采用更智能的方法。结果是一样的;如果一个包含敏感数据的存储桶处于打开状态并且配置错误,它迟早会被发现的。网络罪犯知道S3存储桶能容纳多少敏感和有价值的数据。无论是安全研究人员还是网络犯罪分子发现了一个开放的S3存储桶,它实际上就是一个数据泄露。与任何数据存储一样,完全风险取决于所存储数据的敏感性。Amazon的IaaS(基础设施即服务)分担责任模式将所有最常见和最可能的违规行为的责任完全推到了服务用户的肩上。使用AWS的公司应该承担任何违约责任。这对客户数据尤其有害。企业面临着客户信心的巨大丧失和声誉的受损,以及根据GDPR对任何在欧洲交易的公司的严厉财政处罚,防ddos防御,以及世界各地的其他隐私法规。S3数据泄露——发现配置错误的开放式存储桶的例子——无论是在被恶意参与者利用之前还是之后——都会越来越频繁地发生。2017年,在错误配置的S3桶中发现了近2亿2016年总统大选的美国选民记录。这些数据包括1.1兆字节的完全不安全的个人信息,这些信息是由深根分析公司(Deep Root Analytics)和至少另外两家为共和党工作的公司TargetPoint Consulting,Inc.和data Trust编制的。2017年,在错误配置的S3桶中发现了近2亿2016年总统大选的美国选民记录。《财富》500强企业维亚康姆(Viacom)的服务器和关键基础设施文件也以同样的方式暴露出来。这起云泄漏事件暴露了这家全球第六大媒体公司的主控权,有可能让任何恶意行为体接管维亚康姆的内部IT基础设施和互联网业务。2017年10月,大型国际企业咨询和管理公司埃森哲(Accenture)将多个桶置于无担保状态,暴露了大量内部凭证和外部客户数据。其中一个存储桶包含137GB的数据,包括40000个明文密码、哈希密码、Enstratus云基础设施管理平台的访问密钥、电子邮件数据以及咨询公司ASGARD数据库的信息。在这些示例中,配置错误会让未经授权的用户读取敏感数据。它也可以反过来。2017年11月,Skyhigh Networks描述了一次被称为GhostWriter的"写入"攻击。GhostWriter是一种针对配置为可公开写入的存储桶执行的中间人(MITB)攻击。它允许攻击者覆盖或更改存储桶中包含的文件,并将恶意软件引入组织的云存储。当然,亚马逊的云服务并不是唯一遭受这些问题的云存储。今年4月,防御cc的软件,Digital Shadows报告称,他们的研究人员发现了15亿个敏感数据文件,这些文件存储在不安全的网上。Amazon S3存储桶仅占这些数据的7%。2017年,肯尼索州立大学(Kennesaw State University)一台配置不当的服务器将乔治亚州670万选民的登记记录公开给公众,从而暴露了更多的美国选民数据。佐治亚理工大学的RichDemillo教授评论说:"如果我想影响选举,这正是我要开始的地方。该数据库中包含的信息可能导致多种形式的扶手椅黑客攻击,以操纵人们的投票方式。"随着美国中期选举临近(2018年11月6日),人们担心恶意行为体可能利用这些数据影响格鲁吉亚的投票结果。保持bucket的安全性对于s3bucket和其他云存储来说至关重要。如果能更好地观察亚马逊的最佳实践,大部分(如果不是全部的话)这些数据都可以避免。s3bucket或其他云存储的任何新实现都需要在用于保存任何数据之前正确配置和控制访问。Amazon为它的S3服务提供了一个ACL(访问控制列表)。这需要客户正确配置和维护。为了进一步的安全性,ddos的原理和防御,可以采用服务器端加密(同样由Amazon提供)。两者都需要安全团队的专业知识;因此,云存储的第一个标准是在没有公司安全人员的情况下不允许使用。为了保证s3bucket和其他云存储平台的安全,安全经理必须首先了解组织使用的所有服务。不同的部门有时无法与安全部门进行通信,有时云存储的实现只是漏洞百出。幸运的是,尽管存在帮助攻击者发现不安全存储的自动化工具,但同样的技术也可以应用于找到它们,因此它们可以得到保护。一些云服务提供商有自己的服务,通常是付费的,来帮助发现无保护的web存储;但是这些服务可能很昂贵,金盾防御ddos,而且只覆盖该公司提供的存储平台。High Tech Bridge的Immuniweb Discovery提供了对所有web公开服务的非侵入式发现—无论是S3存储桶还是其他影子IT存储。找到是确保安全的第一步。Immuniweb Discovery可以快速构建一个web公开服务列表—无论是S3存储桶还是其他影子IT存储。找到是确保安全的第一步。二是aws渗透测试。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i