针对应用程序访问控制
权限的攻击针对应用程序
访问控制权限的攻击在 Serverless 场景下也同样存在,例如函数对某资源的访问权限、 可以触发函数执行的事件等。下面以数据库举例,函数执行业务逻辑时不可避免会对数据库进行 CRUD 操作,在此期间,我们需要给予函数对数据库的读写权限。在不对数据库进行其它操作时,我们应当给 予只读权限或关闭其权限,如果此时开发者将权限错误的更改为读写操作,攻击者会利用此漏洞对数据 库展开攻击,从而增加了攻击面。Serverless 应用可能会由许多函数组成,函数间的访问权限,函数与资源的权限映射可能会非常多, 高效率管理权限和角色成为了一项繁琐的问题,许多开发者
可能暴力地为所有函数配置单一权限和角色, 那么进而会导致单一漏洞扩展至整个应用的风险,这也是当前面临的一大问题。#### 针对应用程序数据泄漏的攻击
在应用程序中,敏感数据信息泄漏、应用程序日志泄漏、应用程序访问密钥泄漏、应用程序未采用 HTTPS 协议进行加密等是一些常见的数据安全风险。通过调研发现,这些事件的产生多是由于开发者 的不规范操作引起,例如将密钥信息&#