コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 安全性 AWS S3 バケットの構成ミス - 数百万の個人情報が流出

AWS S3 バケットの構成ミス - 数百万の個人情報が流出

王林
王林
Dec 16, 2019 pm 05:56 PM
aws 個人情報 道を譲る 構成 間違い

AWS S3 バケットの構成ミス - 数百万の個人情報が流出

1. AWS S3 バケットの構成ミスにより、数百万の個人情報 (PII) が取得されました

最初に対象の Web サイトをテストしたとき、高リスクの脆弱性については、1 時間近くの検出と分析を行った結果、重要ではない IDOR および XSS の脆弱性がいくつかあることがわかりましたが、高リスクの脆弱性は存在しませんでした。諦めかけたとき、対象の Web サイトが Amazon Cloudfront サービスを使用して公開画像を保存しており、そのストレージ URL リンクが次のようなものであることを発見しました:

https://d3ez8in977xyz。 cloudfront.net/avatars /009afs8253c47248886d8ba021fd411f.jpg

最初は、これは単なるオープン オンライン データ サービスだと思いました。何気なく https://d3ez8in977xyz.cloudfront.net## にアクセスしました。 # Web サイトで、いくつかの公開画像ファイルが保存されていることがわかりましたが、これらの画像ファイルに加えて、音声チャットのコンテンツ、音声通話のコンテンツなどの機密性の高い個人データ情報も保存されていることを発見して驚きました。 、テキストメッセージの内容、および他のユーザーのプライバシー文書。

恐ろしいのは、これらの機密ファイルに保存されている内容のほとんどが、患者と医師の間の会話情報であるということです。

会社のさまざまなドメイン名がさまざまな AWS バケットに対応しているため、他のドメイン名のパブリック イメージ ストレージを探してみました。案の定、対応する各バケットには数千の個人データ情報が保存されていました。その時は具体的な計算はしませんでしたが、後になってその会社の顧客の数が数百万人に達していることを知りました。以下は個人情報を含むイラストです。

AWS S3 バケットの構成ミス - 数百万の個人情報が流出

対象会社に時間内に報告したところ、1 時間以内にすぐに修理し、報酬をいただきました。報酬は2500ドルと500ドル。

2. ログイン アクセス権を持つ管理者アカウントにより、ビジネス パートナー企業の詳細情報が漏洩しました。

これは多国籍企業の Web サイトであり、保存されている XSS があるため、Web サイトの管理者アカウント トークンと詳細なテストにより、同社のパートナー企業の詳細情報が取得されました。

会社の Web サイトのデータ フォーマット ページに保存された XSS の脆弱性を発見しました。フォーマットされたデータはローカル管理者アカウントに保存されていたため、XSSHunter の組み込みペイロードを使用してリバウンドをトリガーしました。オペレーターがトリガーした後

AWS S3 バケットの構成ミス - 数百万の個人情報が流出

脆弱性を報告した後、私は 1,250 ドルの報酬を受け取りました。

おすすめの関連記事とチュートリアル:

Web サーバーのセキュリティ

以上がAWS S3 バケットの構成ミス - 数百万の個人情報が流出の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.チャットコマンドとそれらの使用方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7530
15
CakePHP チュートリアル
1378
52
Steamのアカウント名の形式は何ですか
82
11
Win11 Activation Key Permanent
54
19
NYTの接続はヒントと回答です
21
76
もっと見る
Related knowledge
操作を完了できません (エラー 0x0000771) プリンター エラー 操作を完了できません (エラー 0x0000771) プリンター エラー Mar 16, 2024 pm 03:50 PM

プリンターの使用中に、操作を完了できませんでした (エラー 0x00000771) などのエラー メッセージが表示された場合は、プリンターが切断されている可能性があります。この場合、以下の方法で問題を解決できます。この記事では、Windows 11/10 PC でこの問題を解決する方法について説明します。エラー メッセージ全体には、「操作を完了できませんでした (エラー 0x0000771)」が示されています。指定されたプリンターは削除されました。 Windows PC で 0x00000771 プリンター エラーを修正する プリンター エラーを修正するには、操作を完了できませんでした (エラー 0x0000771)。指定されたプリンターは Windows 11/10 PC で削除されています。次の解決策に従ってください: 印刷スプールを再起動します

Windows Update プロンプト エラー 0x8024401c エラーの解決策 Windows Update プロンプト エラー 0x8024401c エラーの解決策 Jun 08, 2024 pm 12:18 PM

目次 解決策 1 解決策 21. Windows Update の一時ファイルを削除します。 2. 破損したシステム ファイルを修復します。 3. レジストリ エントリを表示および変更します。 4. ネットワーク カード IPv6 をオフにします。 5. WindowsUpdateTroubleshooter ツールを実行して修復します。 6. ファイアウォールをオフにします。およびその他の関連するウイルス対策ソフトウェア。 7. WidowsUpdate サービスを閉じます。解決策 3 解決策 4 Huawei コンピュータの Windows アップデート中に「0x8024401c」エラーが発生する 症状 問題 原因 解決策 まだ解決されませんか?最近、システムの脆弱性のため、Web サーバーを更新する必要があります。サーバーにログインすると、エラー コード 0x8024401c が表示されます。

LinuxシステムにおけるGDMの動作原理と設定方法 LinuxシステムにおけるGDMの動作原理と設定方法 Mar 01, 2024 pm 06:36 PM

タイトル: Linux システムにおける GDM の動作原理と構成方法 Linux オペレーティング システムでは、GDM (GNOMEDisplayManager) は、グラフィカル ユーザー インターフェイス (GUI) ログインとユーザー セッション管理を制御するために使用される一般的なディスプレイ マネージャーです。この記事では、GDM の動作原理と構成方法を紹介し、具体的なコード例を示します。 1. GDM の動作原理 GDM は GNOME デスクトップ環境のディスプレイ マネージャーであり、X サーバーの起動とログイン インターフェイスの提供を担当します。

Linux Bashrc の機能、構成、使用法を理解する Linux Bashrc の機能、構成、使用法を理解する Mar 20, 2024 pm 03:30 PM

Linux Bashrc について: 機能、構成、および使用法 Linux システムでは、Bashrc (BourneAgainShellrunco​​mmands) は非常に重要な構成ファイルであり、システムの起動時に自動的に実行されるさまざまなコマンドと設定が含まれています。 Bashrc ファイルは通常、ユーザーのホーム ディレクトリにある隠しファイルであり、その機能はユーザーの Bashshell 環境をカスタマイズすることです。 1. Bashrc関数の設定環境

Oracle エラー 3114 の解釈: 原因と解決策 Oracle エラー 3114 の解釈: 原因と解決策 Mar 08, 2024 pm 03:42 PM

タイトル: Oracle エラー 3114 の分析: 原因と解決策 Oracle データベースを使用すると、さまざまなエラー コードが頻繁に発生しますが、その中で比較的一般的なのはエラー 3114 です。このエラーには通常、データベース リンクの問題が関係しており、データベースへのアクセス時に例外が発生する可能性があります。この記事では、Oracle エラー 3114 を解釈し、その原因について説明し、エラーを解決するための具体的な方法と関連するコード例を示します。 1. エラー 3114 の定義 Oracle エラー 3114 パス

Xiangxiangfuzhai アプリでエラーが表示されるのはなぜですか? Xiangxiangfuzhai アプリでエラーが表示されるのはなぜですか? Mar 19, 2024 am 08:04 AM

表示エラーは、Xiangxiang Fuzhai アプリで発生する可能性のある問題です。一部のユーザーは、Xiangxiang Fuzhai アプリでエラーが表示される理由がわからない場合があります。ネットワーク接続の問題、バックグラウンド プログラムの多さ、誤った登録情報などが原因である可能性があります。ユーザー向けにアプリ表示エラーの解決方法を編集部が紹介しますので、興味のある方はぜひご覧ください! Xiangxiang Fuzhai アプリでエラーの回答が表示されるのはなぜですか: ネットワーク接続の問題、バックグラウンド プログラムが多すぎる、間違った登録情報など。 詳細: 1. [ネットワークの問題] 解決策: デバイスの接続ネットワーク ステータスを確認し、再接続するか、別のネットワーク接続を選択してください。使用できます。 2. [バックグラウンド プログラムが多すぎる] 解決策: 実行中の他のプログラムを閉じてシステムを解放すると、ソフトウェアの実行速度が向上します。 3. 【登録情報に誤りがある場合】

Linux のおっと: このエラーの意味の詳細な説明 Linux のおっと: このエラーの意味の詳細な説明 Mar 21, 2024 am 09:06 AM

LinuxOops: このエラーの意味の詳細な説明、特定のコード例が必要 LinuxOops とは何ですか? Linux システムでは、「おっと」とは、カーネル内の重大なエラーによりシステムがクラッシュする状況を指します。 Oops は実際には、致命的なエラーが発生したときにシステムを停止し、開発者が問題を診断して修正できるように関連するエラー情報を出力するカーネル クラッシュ メカニズムです。通常、エラーはカーネル空間で発生し、ユーザー空間のアプリケーションとは何の関係もありません。カーネルが遭遇したとき

Linux システムで FTPS を構成してインストールする方法 Linux システムで FTPS を構成してインストールする方法 Mar 20, 2024 pm 02:03 PM

タイトル: Linux システムで FTPS を構成およびインストールする方法、具体的なコード例が必要です。Linux システムでは、FTPS は安全なファイル転送プロトコルです。FTP と比較して、FTPS は TLS/SSL プロトコルを通じて送信データを暗号化し、データのセキュリティを向上させます。伝染 ; 感染。この記事では、Linux システムに FTPS を構成およびインストールする方法を紹介し、具体的なコード例を示します。ステップ 1: vsftpd をインストールする ターミナルを開き、次のコマンドを入力して vsftpd をインストールします: sudo

See all articles