AWS S3存储桶配置错误导致百万用户信息泄露,加强安全措施保护您的数据

最新推荐文章于 2024-05-21 10:00:08 发布
最新推荐文章于 2024-05-21 10:00:08 发布
阅读量336 收藏
点赞数
文章标签: aws python java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UgzWeb/article/details/133302980
版权
安全 专栏收录该内容
47 篇文章 2 订阅 ¥59.90 ¥99.00
订阅专栏

近期,AWS S3存储桶配置错误的安全漏洞导致了一起严重的数据泄露事件,数百万个人信息遭受了泄露风险。本文将详细介绍这一事件的背景,并提供一些关于如何加强AWS S3存储桶的安全措施的建议。

AWS S3(Amazon Simple Storage Service)是一种高度可扩展、安全可靠的对象存储服务,许多组织和企业选择使用它来存储和管理大量的数据。然而,如果不正确地配置和保护S3存储桶,可能会导致敏感数据的泄露。

在这个具体的泄露事件中,存储桶的访问权限配置存在问题,导致未经授权的访问者能够获取存储桶中的数据。以下是一些常见的配置错误,以及如何修复它们的建议:

  1. 公开访问权限:在S3存储桶中,如果将权限设置为公开读取或公开写入,任何人都可以访问和修改存储桶中的数据。为了修复这个问题,您应该仔细审查存储桶的权限设置,并确保只有经过授权的用户或特定的AWS账户能够访问和修改数据。
import boto3

s3 = boto3.client('s3')

def make_bucket_private(<
了解本专栏 订阅专栏 解锁全文
UgzWeb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
订阅专栏
aws-s3-signurl:用于为s3存储密钥生成签名URL的CLI
05-22
aws-s3-signurl AWS CLI当前不具有对URL进行签名的功能,以限制时间访问安全存储。 这个简单的实用程序采用存储名称和(可选)键名称,并为其输出签名的URL。 如果仅提供了存储名称,则将为每个密钥输出一个已...
aws-s3-size:用于获取S3存储中目录的大小
04-30
AWS-S3尺寸现在将获得“存储根”的“对象总数”和“总大小”以及其中的所有目录。
AWS 安全系列】Amazon S3 配置错误(下)
qq_28205153的博客
09-08 3833
本篇文章来介绍下怎样发现配置错误的 Amazon S3 存储,以及 Amazon S3 存储安全评估方法。
Web安全-AWS S3 Subdomain Takeover
lanyef的专栏
09-05 264
子域接管漏洞发生在某个子域名指向的服务被删除或取消后未及时删除域名解析记录(通常为CNAME),攻击者利用这个漏洞创建一个新页面并将其指向该子域名,实现接管。常用的三方SaaS服务如Github pages,AWS S3,阿里云OSS等。该漏洞攻击是怎样的呢?下面模拟一个场景,某公司(corp)即将上线业务A。该业务分配a.corp.net域名提供服务、展示内容;运维按业务要求新建AWS S3 存储业务的静态资源(图片);
Day93:云上攻防-云服务篇&对象存储&Bucket&任意上传&域名接管&AccessKey泄漏
qq_61553520的博客
04-10 1584
小迪安全-Day93:云上攻防-云服务篇&对象存储&Bucket&任意上传&域名接管&AccessKey泄漏
minio如何给设置public权限并禁止public列出全部文件
热门推荐
weixin_52097724的博客
07-19 1万+
minio公共权限相关
8款审核AWS帐户安全性的免费工具,你值得拥有
weixin_34130269的博客
09-18 563
本文讲的是8款审核AWS帐户安全性的免费工具,你值得拥有, 随着Amazon Web Services(AWS)用户越来越多,用户的账号安全性已经成了一个不容忽视的问题。默认情况下,AWS帐户通常是安全的,但也可能发生风险,鉴于此,我找到了一些可用于检查这些安全风险的工具。 AWS的潜在安全问题有很多,比如一台主机的安全组可以向0.0.0.0/0全开放...
【漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例
Websec
07-03 1223
全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储访问。在我检查开放的 Amazon Web Services (AWS) S3 存储时,我发现了一个包含 AWS 凭证的敏感文件。不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。
aws-s3-bucket-browser:单页应用程序以浏览AWS S3存储内容
05-01
AWS S3存储浏览器 单个HTML文件可浏览AWS S3存储安装自托管只需index.html并将其放在S3存储的根目录下即可。 根据需要在index.html调整。 bucketUrl字符串title -字符串subtitle -字串logo -位置favicon -位置...
s3wipe:快速AWS S3存储删除工具
05-25
s3wipe 快速并行化的AWS S3密钥和存储删除器。 我最近的任务是删除Amazon的Simple Storage Service(S3)中的一个存储,该存储中包含绝对大量的文件。 不幸的是,亚马逊本身并没有给您提供简便的方法来自己...
terraform-aws-logs:创建和配置用于存储AWS日志的S3存储
02-04
支持两个主要用例: 创建并配置一个私有S3存储,以存储来自各种AWS服务的日志,这些日志嵌套为存储前缀。 日志将在默认的90天后过期,并且可以配置保留值。 为单个AWS服务创建和配置单个私有S3存储。 日志将在...
APT攻击是什么?该如何预防?
qigaohua的博客
12-08 5871
多数人可能从来没听过APT攻击,文章内容通俗易懂,耐心看哦。 APT名字来源 Advanced(高级)Persistent(持续)Threat(威胁),中文全称高级持续性威胁。 而这种攻击最主要的两个特点就是高级、持续。 高级指的是攻击手段高,攻击对象也高端,通常攻击对象是国家政府单位,政府或企业高管人员,国家机密军事机密等。 持续指持续性,说明攻击时间极长,通常以年为单位,想象一下,当一个技术顶尖的组织,分工明确,目的明确,长期盯着要害部门,收集情报,获取重要机密,并且长期潜伏,攻击持续数年甚
aws s3存储空间,设置默认公开权限
yangyun_1999的专栏
01-18 7394
一、打开需要配置的bucket1、json配置解析文档https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html2、控制台自动生成配置http://awspolicygen.s3.amazonaws.com/policygen.html
推荐开源项目:lazys3 - S3存储安全检测利器
最新发布
gitblog_00009的博客
05-21 213
推荐开源项目:lazys3 - S3存储安全检测利器 项目地址:https://gitcode.com/nahamsec/lazys3 1、项目介绍 在云计算日益普及的今天,Amazon S3作为云存储服务的重要组件,其安全性至关重要。lazys3 是一个由Ruby编写的脚本,专为检测AWS S3存储安全漏洞而设计。它通过不同的排列组合尝试访问S3,帮助你识别可能存在的公开或不安全的资源。...
[译]内存泄露的八种花样
weixin_34100227的博客
11-13 88
这是很久以前发布在简书平台上的一篇有关内存泄漏的译文。这篇文章提及的8种内存泄漏的场景,现在来看依旧很经典。为了避免内存泄漏,开发过程中需要谨慎谨慎再谨慎。同时,保持良好的开发习惯也至关重要。 具有垃圾回收特性的语言(如Java)的优点在于,它使得开发者不需要显式的对内存的分配和回收进行管理。这个特性降低引发段错误引发应用崩溃的风险,避免没有释放的内存长期占据堆内存,从而编写出更加安全的代码。...
云环境下密钥泄露导致安全问题
蚁景网安学院
07-15 1540
前言如今越来越多的中小型公司选择使用云平台,诸如:阿里云、腾讯云、Amazon、Azure。使用云平台大大降低了企业的资源成本,另一方面随着公用云的普及,也存在着一些风险,当然不是由于云...
【SRC挖洞经验】Amazon S3 Bucket接管教程
yggcwhat
03-29 2308
在挖掘HackerOne过程中会经常遇到Bucket接管漏洞,Amazon 的是最多的 有些网站访问是这样,也可能是其他页面,nuclei扫描出来会提示 存在Bucket 接管漏洞 漏洞利用 使用 dig + 目标域 dig查询如果发现cname 中有解析到s3 存储 就得到了S3 bucket name 的名称,有了S3 bucket name 就可以尝试去接管 在这里https://s3.console.aws.amazon.com/s3/buckets/,创建一个存储.
AWS 安全系列】Amazon S3 配置错误(上)
qq_28205153的博客
08-26 7455
打算出一个系列文章,分几篇讲解 AWS安全问题,本篇先介绍 Amazon S3 基本概念,并且搭建一个实验环境。 近年来云平台上的数据泄漏经常发生,其中经常听到的就是 aws s3 数据泄漏,今天就来详细介绍此漏洞的形成原因、怎样复现漏洞及修复建议。
aws S3存储-不安全配置
06-09
您的问题是关于AWS S3存储安全配置的问题。对于这个问题,我们需要了解S3存储访问控制和安全配置AWS S3存储是一种对象存储服务,可以存储大量的数据,并且提供了灵活的访问控制功能。但是,如果没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值