Bau Kod - Mencangkung

PHPz
Lepaskan: 2024-08-14 10:38:13
asal
720 orang telah melayarinya

Jangan gunakan nama yang boleh diteka terlebih dahulu pada sumber misi kritikal

TL;DR: Lindungi sumber awan anda dengan mengelakkan corak penamaan yang boleh diramal.

Masalah

  • Nama boleh diramal

  • Akses tanpa kebenaran

  • Risiko pendedahan data

  • Sumber bayang

  • Pengambilalihan akaun

  • Kerentanan Idor

  • Pengoptimuman Pramatang

Penyelesaian

  1. Gunakan nama baldi unik dengan kekunci gelap

  2. Sahkan pemilikan pada penciptaan

  3. Lindungi sumber sepenuhnya

  4. Mempunyai arahan yang mengaburkan nama sebenar

  5. Nama buku untuk mengelakkan mencangkung

  6. Rawakkan nama

Konteks

Pencangkungan sumber berlaku apabila penyerang menjangkakan corak penamaan sumber awan, seperti baldi S3.

Penyerang menciptanya di kawasan yang pengguna belum belum menggunakan sumber.

Interaksi pengguna dengan sumber milik penyerang ini boleh membawa kepada pelanggaran keselamatan yang teruk seperti pendedahan data, akses tanpa kebenaran atau pengambilalihan akaun.

Kerentanan ini adalah kritikal dalam persekitaran seperti AWS, di mana konvensyen penamaan boleh diramal sering digunakan.

Banyak sistem mengelakkan amaran ini kerana takut akan penalti prestasi yang merupakan kes pengoptimuman pramatang yang jelas.

Kod Contoh

salah

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open
Salin selepas log masuk

Betul

import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)
Salin selepas log masuk

Pengesanan

[X] Automatik

Audit keselamatan boleh mengesan bau ini dengan menganalisis nama sumber anda untuk kebolehramalan.

Cari corak dalam nama yang penyerang boleh jangkakan atau teka dengan mudah.

Banyak alat automatik dan semakan kod manual boleh membantu mengenal pasti risiko ini.

Tag

  • Keselamatan

Tahap

[X] Pertengahan

Penjanaan AI

Penjana AI boleh mencipta bau ini menggunakan templat standard dengan corak penamaan yang boleh diramal.

Sentiasa sesuaikan dan semak kod yang dijana untuk keselamatan.

Pengesanan AI

AI boleh membantu mengesan bau ini jika dikonfigurasikan dengan peraturan yang mengenal pasti konvensyen penamaan sumber yang boleh diramal atau tidak selamat.

Ini ialah risiko keselamatan yang memerlukan pemahaman tentang infrastruktur awan dan potensi vektor serangan.

Kesimpulan

Mengelakkan corak penamaan yang boleh diramal adalah penting untuk mendapatkan sumber awan anda.

Sentiasa gunakan nama yang unik, tidak jelas, sukar diteka dan juga sahkan pemilikan sumber untuk melindungi daripada serangan mencangkung.

perhubungan

Maklumat Lanjut

Penggodam Gb

Wikipedia

Penafian

Bau Kod adalah pendapat saya.

Kredit

Foto oleh Felix Koutchinski di Unsplash


Satu-satunya sistem yang benar-benar selamat ialah sistem yang dimatikan dan dicabut, dikunci dalam peti besi berlapik titanium, dikebumikan dalam kubu konkrit, dan dikelilingi oleh gas saraf dan pengawal bersenjata yang dibayar sangat tinggi. Walaupun begitu, saya tidak akan mempertaruhkan nyawa saya padanya.

Gene Spafford


Artikel ini adalah sebahagian daripada Siri CodeSmell.

Atas ialah kandungan terperinci Bau Kod - Mencangkung. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:dev.to
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan
Tentang kita Penafian Sitemap
Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!