Jangan gunakan nama yang boleh diteka terlebih dahulu pada sumber misi kritikal
TL;DR: Lindungi sumber awan anda dengan mengelakkan corak penamaan yang boleh diramal.
Nama boleh diramal
Akses tanpa kebenaran
Risiko pendedahan data
Sumber bayang
Pengambilalihan akaun
Kerentanan Idor
Pengoptimuman Pramatang
Gunakan nama baldi unik dengan kekunci gelap
Sahkan pemilikan pada penciptaan
Lindungi sumber sepenuhnya
Mempunyai arahan yang mengaburkan nama sebenar
Nama buku untuk mengelakkan mencangkung
Rawakkan nama
Pencangkungan sumber berlaku apabila penyerang menjangkakan corak penamaan sumber awan, seperti baldi S3.
Penyerang menciptanya di kawasan yang pengguna belum belum menggunakan sumber.
Interaksi pengguna dengan sumber milik penyerang ini boleh membawa kepada pelanggaran keselamatan yang teruk seperti pendedahan data, akses tanpa kebenaran atau pengambilalihan akaun.
Kerentanan ini adalah kritikal dalam persekitaran seperti AWS, di mana konvensyen penamaan boleh diramal sering digunakan.
Banyak sistem mengelakkan amaran ini kerana takut akan penalti prestasi yang merupakan kes pengoptimuman pramatang yang jelas.
def create_bucket(account_id, region): bucket_name = f"aws-glue-assets-{account_id}-{region}" create_s3_bucket(bucket_name) # This is deterministic and open
import uuid def create_bucket(account_id, region): unique_id = uuid.uuid4().hex # This number is not deterministic # is a way to generate a random UUID (Universally Unique Identifier) # in Python and then retrieve it as a hexadecimal string. bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}" create_s3_bucket(bucket_name) verify_bucket_ownership(bucket_name, account_id)
[X] Automatik
Audit keselamatan boleh mengesan bau ini dengan menganalisis nama sumber anda untuk kebolehramalan.
Cari corak dalam nama yang penyerang boleh jangkakan atau teka dengan mudah.
Banyak alat automatik dan semakan kod manual boleh membantu mengenal pasti risiko ini.
[X] Pertengahan
Penjana AI boleh mencipta bau ini menggunakan templat standard dengan corak penamaan yang boleh diramal.
Sentiasa sesuaikan dan semak kod yang dijana untuk keselamatan.
AI boleh membantu mengesan bau ini jika dikonfigurasikan dengan peraturan yang mengenal pasti konvensyen penamaan sumber yang boleh diramal atau tidak selamat.
Ini ialah risiko keselamatan yang memerlukan pemahaman tentang infrastruktur awan dan potensi vektor serangan.
Mengelakkan corak penamaan yang boleh diramal adalah penting untuk mendapatkan sumber awan anda.
Sentiasa gunakan nama yang unik, tidak jelas, sukar diteka dan juga sahkan pemilikan sumber untuk melindungi daripada serangan mencangkung.
Penggodam Gb
Wikipedia
Bau Kod adalah pendapat saya.
Foto oleh Felix Koutchinski di Unsplash
Satu-satunya sistem yang benar-benar selamat ialah sistem yang dimatikan dan dicabut, dikunci dalam peti besi berlapik titanium, dikebumikan dalam kubu konkrit, dan dikelilingi oleh gas saraf dan pengawal bersenjata yang dibayar sangat tinggi. Walaupun begitu, saya tidak akan mempertaruhkan nyawa saya padanya.
Gene Spafford
Artikel ini adalah sebahagian daripada Siri CodeSmell.
Atas ialah kandungan terperinci Bau Kod - Mencangkung. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!