Code-Geruch – Hocken
Verwenden Sie keine erratenen Namen im Voraus für geschäftskritische Ressourcen
TL;DR: Sichern Sie Ihre Cloud-Ressourcen, indem Sie vorhersehbare Benennungsmuster vermeiden.
Probleme
Vorhersehbare Namen
Unberechtigter Zugriff
Risiken der Datenexposition
Schattenressourcen
Kontoübernahmen
Idor-Schwachstelle
Vorzeitige Optimierung
Lösungen
Verwenden Sie eindeutige Bucket-Namen mit dunklen Schlüsseln
Bestätigen Sie den Besitz bei der Erstellung
Ressourcen vollständig sichern
Ableitungen haben, die echte Namen verschleiern
Buchnamen, um Hocken vorzubeugen
Namen zufällig auswählen
Kontext
Resource Squatting geschieht, wenn Angreifer die Benennungsmuster von Cloud-Ressourcen, wie z. B. S3-Buckets, vorhersehen.
Der Angreifer erstellt sie in Regionen, in denen der Benutzer noch keine Ressourcen bereitgestellt hat.
Benutzerinteraktion mit diesen Ressourcen im Besitz des Angreifers kann zu schwerwiegenden Sicherheitsverletzungen wie Datenoffenlegung, unbefugtem Zugriff oder Kontoübernahmen führen.
Diese Schwachstelle ist in Umgebungen wie AWS von entscheidender Bedeutung, in denen häufig vorhersehbare Namenskonventionen verwendet werden.
Viele Systeme vermeiden diese Indirektion aus Angst vor Leistungseinbußen, was ein klarer Fall vorzeitiger Optimierung ist.
Beispielcode
Falsch
def create_bucket(account_id, region):
bucket_name = f"aws-glue-assets-{account_id}-{region}"
create_s3_bucket(bucket_name)
# This is deterministic and open
Rechts
import uuid
def create_bucket(account_id, region):
unique_id = uuid.uuid4().hex
# This number is not deterministic
# is a way to generate a random UUID (Universally Unique Identifier)
# in Python and then retrieve it as a hexadecimal string.
bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
create_s3_bucket(bucket_name)
verify_bucket_ownership(bucket_name, account_id)
Erkennung
[X] Automatisch
Ein Sicherheitsaudit kann diesen Geruch erkennen, indem es Ihre Ressourcennamen auf Vorhersehbarkeit analysiert.
Suchen Sie nach Mustern in Namen, die ein Angreifer leicht vorhersehen oder erraten kann.
Viele automatisierte Tools und manuelle Codeüberprüfungen können dabei helfen, diese Risiken zu identifizieren.
Schlagworte
- Sicherheit
Ebene
[X] Mittelstufe
KI-Generierung
KI-Generatoren können diesen Geruch mithilfe von Standardvorlagen mit vorhersehbaren Namensmustern erzeugen.
Passen Sie den generierten Code immer an und überprüfen Sie ihn auf Sicherheit.
KI-Erkennung
KI kann dabei helfen, diesen Geruch zu erkennen, wenn sie mit Regeln konfiguriert wird, die vorhersehbare oder unsichere Namenskonventionen für Ressourcen identifizieren.
Dies ist ein Sicherheitsrisiko, das ein Verständnis der Cloud-Infrastruktur und potenzieller Angriffsvektoren erfordert.
Abschluss
Die Vermeidung vorhersehbarer Benennungsmuster ist für die Sicherung Ihrer Cloud-Ressourcen von entscheidender Bedeutung.
Verwenden Sie immer eindeutige, undurchsichtige und schwer zu erratende Namen und überprüfen Sie auch den Ressourcenbesitz, um sich vor Squatting-Angriffen zu schützen.
Beziehungen
Code Smell 120 – Sequentielle IDs
Maxi Contieri ・ 10. März 22
Weitere Informationen
GB-Hacker
Wikipedia
Haftungsausschluss
Code Smells sind meine Meinung.
Credits
Foto von Felix Koutchinski auf Unsplash
Das einzige System, das wirklich sicher ist, ist eines, das ausgeschaltet und vom Stromnetz getrennt, in einem mit Titan ausgekleideten Safe eingeschlossen, in einem Betonbunker vergraben und von Nervengas und sehr gut bezahlten bewaffneten Wachen umgeben ist. Selbst dann würde ich nicht mein Leben darauf setzen.
Gene Spafford
Tolle Software-Engineering-Zitate
Maxi Contieri ・ 28. Dezember 2020
Dieser Artikel ist Teil der CodeSmell-Reihe.
So finden Sie die stinkenden Teile Ihres Codes
Maxi Contieri ・ 21. Mai '21
Das obige ist der detaillierte Inhalt vonCode-Geruch – Hocken. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
1670
14
1428
52
1329
25
1276
29
1256
24
Python vs. C: Lernkurven und Benutzerfreundlichkeit
Apr 19, 2025 am 12:20 AM
Python ist leichter zu lernen und zu verwenden, während C leistungsfähiger, aber komplexer ist. 1. Python -Syntax ist prägnant und für Anfänger geeignet. Durch die dynamische Tippen und die automatische Speicherverwaltung können Sie die Verwendung einfach zu verwenden, kann jedoch zur Laufzeitfehler führen. 2.C bietet Steuerung und erweiterte Funktionen auf niedrigem Niveau, geeignet für Hochleistungsanwendungen, hat jedoch einen hohen Lernschwellenwert und erfordert manuellem Speicher und Typensicherheitsmanagement.
Python und Zeit: Machen Sie das Beste aus Ihrer Studienzeit
Apr 14, 2025 am 12:02 AM
Um die Effizienz des Lernens von Python in einer begrenzten Zeit zu maximieren, können Sie Pythons DateTime-, Zeit- und Zeitplanmodule verwenden. 1. Das DateTime -Modul wird verwendet, um die Lernzeit aufzuzeichnen und zu planen. 2. Das Zeitmodul hilft, die Studie zu setzen und Zeit zu ruhen. 3. Das Zeitplanmodul arrangiert automatisch wöchentliche Lernaufgaben.
Python vs. C: Erforschung von Leistung und Effizienz erforschen
Apr 18, 2025 am 12:20 AM
Python ist in der Entwicklungseffizienz besser als C, aber C ist in der Ausführungsleistung höher. 1. Pythons prägnante Syntax und reiche Bibliotheken verbessern die Entwicklungseffizienz. 2. Die Kompilierungsmerkmale von Compilation und die Hardwarekontrolle verbessern die Ausführungsleistung. Bei einer Auswahl müssen Sie die Entwicklungsgeschwindigkeit und die Ausführungseffizienz basierend auf den Projektanforderungen abwägen.
Python lernen: Ist 2 Stunden tägliches Studium ausreichend?
Apr 18, 2025 am 12:22 AM
Ist es genug, um Python für zwei Stunden am Tag zu lernen? Es hängt von Ihren Zielen und Lernmethoden ab. 1) Entwickeln Sie einen klaren Lernplan, 2) Wählen Sie geeignete Lernressourcen und -methoden aus, 3) praktizieren und prüfen und konsolidieren Sie praktische Praxis und Überprüfung und konsolidieren Sie und Sie können die Grundkenntnisse und die erweiterten Funktionen von Python während dieser Zeit nach und nach beherrschen.
Python vs. C: Verständnis der wichtigsten Unterschiede
Apr 21, 2025 am 12:18 AM
Python und C haben jeweils ihre eigenen Vorteile, und die Wahl sollte auf Projektanforderungen beruhen. 1) Python ist aufgrund seiner prägnanten Syntax und der dynamischen Typisierung für die schnelle Entwicklung und Datenverarbeitung geeignet. 2) C ist aufgrund seiner statischen Tipp- und manuellen Speicherverwaltung für hohe Leistung und Systemprogrammierung geeignet.
Welches ist Teil der Python Standard Library: Listen oder Arrays?
Apr 27, 2025 am 12:03 AM
PythonlistsarePartThestandardlibrary, whilearraysarenot.listarebuilt-in, vielseitig und UNDUSEDFORSPORINGECollections, während dieArrayRay-thearrayModulei und loses und loses und losesaluseduetolimitedFunctionality.
Python: Automatisierung, Skript- und Aufgabenverwaltung
Apr 16, 2025 am 12:14 AM
Python zeichnet sich in Automatisierung, Skript und Aufgabenverwaltung aus. 1) Automatisierung: Die Sicherungssicherung wird durch Standardbibliotheken wie OS und Shutil realisiert. 2) Skriptschreiben: Verwenden Sie die PSUTIL -Bibliothek, um die Systemressourcen zu überwachen. 3) Aufgabenverwaltung: Verwenden Sie die Zeitplanbibliothek, um Aufgaben zu planen. Die Benutzerfreundlichkeit von Python und die Unterstützung der reichhaltigen Bibliothek machen es zum bevorzugten Werkzeug in diesen Bereichen.
Python für die Webentwicklung: Schlüsselanwendungen
Apr 18, 2025 am 12:20 AM
Zu den wichtigsten Anwendungen von Python in der Webentwicklung gehören die Verwendung von Django- und Flask -Frameworks, API -Entwicklung, Datenanalyse und Visualisierung, maschinelles Lernen und KI sowie Leistungsoptimierung. 1. Django und Flask Framework: Django eignet sich für die schnelle Entwicklung komplexer Anwendungen, und Flask eignet sich für kleine oder hochmobile Projekte. 2. API -Entwicklung: Verwenden Sie Flask oder Djangorestframework, um RESTFUFFUPI zu erstellen. 3. Datenanalyse und Visualisierung: Verwenden Sie Python, um Daten zu verarbeiten und über die Webschnittstelle anzuzeigen. 4. Maschinelles Lernen und KI: Python wird verwendet, um intelligente Webanwendungen zu erstellen. 5. Leistungsoptimierung: optimiert durch asynchrones Programmieren, Caching und Code
