代码气味 - 蹲着
不要提前在关键任务资源上使用可猜测的名称
TL;DR:通过避免可预测的命名模式来保护您的云资源。
问题
可预测的名字
未经授权的访问
数据暴露风险
影子资源
帐户接管
Idor 漏洞
过早优化
解决方案
使用带有暗键的唯一存储桶名称
验证创建的所有权
充分保障资源
使用间接混淆真实姓名
书名防止抢注
随机名称
语境
当攻击者预见到云资源(例如 S3 存储桶)的命名模式时,就会发生资源抢占。
攻击者在用户尚未尚未部署资源的区域创建它们。
用户与这些攻击者拥有的资源的交互可能会导致严重的安全漏洞,例如数据泄露、未经授权的访问或帐户接管。
此漏洞在 AWS 等经常使用可预测命名约定的环境中非常严重。
许多系统避免这种间接方式,担心性能损失,这是过早优化的明显例子。
示例代码
错误的
def create_bucket(account_id, region): bucket_name = f"aws-glue-assets-{account_id}-{region}" create_s3_bucket(bucket_name) # This is deterministic and open
正确的
import uuid def create_bucket(account_id, region): unique_id = uuid.uuid4().hex # This number is not deterministic # is a way to generate a random UUID (Universally Unique Identifier) # in Python and then retrieve it as a hexadecimal string. bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}" create_s3_bucket(bucket_name) verify_bucket_ownership(bucket_name, account_id)
检测
[X] 自动
安全审核可以通过分析资源名称的可预测性来检测这种气味。
寻找攻击者可以轻松预测或猜测的名称模式。
许多自动化工具和手动代码审查可以帮助识别这些风险。
标签
- 安全
等级
[X] 中级
人工智能一代
人工智能生成器可以使用具有可预测命名模式的标准模板来创建这种气味。
始终自定义和检查生成的代码以确保安全。
人工智能检测
如果配置了识别可预测或不安全资源命名约定的规则,人工智能可以帮助检测这种气味。
这是一个安全风险,需要了解云基础设施和潜在的攻击媒介。
结论
避免可预测的命名模式对于保护云资源至关重要。
始终使用独特、晦涩、难以猜测的名称,并验证资源所有权以防止抢注攻击。
关系

代码气味 120 - 顺序 ID
马克西·康泰里 ・ 22 年 3 月 10 日
更多信息
GB 黑客
维基百科
免责声明
代码味道是我的观点。
制作人员
照片由 Felix Koutchinski 在 Unsplash 上拍摄
唯一真正安全的系统是关闭并拔掉插头的系统,锁在钛衬里的保险箱中,埋在混凝土掩体中,周围是神经毒气和高薪武装警卫。即便如此,我也不会赌上自己的生命。
吉恩·斯帕福德

软件工程精彩名言
马克西·孔蒂耶里 ・ 2020 年 12 月 28 日
本文是 CodeSmell 系列的一部分。

如何查找代码中的臭部分
马克西·孔蒂耶里 ・ 21 年 5 月 21 日
以上是代码气味 - 蹲着的详细内容。更多信息请关注PHP中文网其他相关文章!

热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3汉化版
中文版,非常好用

禅工作室 13.0.1
功能强大的PHP集成开发环境

Dreamweaver CS6
视觉化网页开发工具

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

Python更易学且易用,C 则更强大但复杂。1.Python语法简洁,适合初学者,动态类型和自动内存管理使其易用,但可能导致运行时错误。2.C 提供低级控制和高级特性,适合高性能应用,但学习门槛高,需手动管理内存和类型安全。

要在有限的时间内最大化学习Python的效率,可以使用Python的datetime、time和schedule模块。1.datetime模块用于记录和规划学习时间。2.time模块帮助设置学习和休息时间。3.schedule模块自动化安排每周学习任务。

Python在开发效率上优于C ,但C 在执行性能上更高。1.Python的简洁语法和丰富库提高开发效率。2.C 的编译型特性和硬件控制提升执行性能。选择时需根据项目需求权衡开发速度与执行效率。

每天学习Python两个小时是否足够?这取决于你的目标和学习方法。1)制定清晰的学习计划,2)选择合适的学习资源和方法,3)动手实践和复习巩固,可以在这段时间内逐步掌握Python的基本知识和高级功能。

Python和C 各有优势,选择应基于项目需求。1)Python适合快速开发和数据处理,因其简洁语法和动态类型。2)C 适用于高性能和系统编程,因其静态类型和手动内存管理。

pythonlistsarepartofthestAndArdLibrary,herilearRaysarenot.listsarebuilt-In,多功能,和Rused ForStoringCollections,而EasaraySaraySaraySaraysaraySaraySaraysaraySaraysarrayModuleandleandleandlesscommonlyusedDduetolimitedFunctionalityFunctionalityFunctionality。

Python在自动化、脚本编写和任务管理中表现出色。1)自动化:通过标准库如os、shutil实现文件备份。2)脚本编写:使用psutil库监控系统资源。3)任务管理:利用schedule库调度任务。Python的易用性和丰富库支持使其在这些领域中成为首选工具。

Python在Web开发中的关键应用包括使用Django和Flask框架、API开发、数据分析与可视化、机器学习与AI、以及性能优化。1.Django和Flask框架:Django适合快速开发复杂应用,Flask适用于小型或高度自定义项目。2.API开发:使用Flask或DjangoRESTFramework构建RESTfulAPI。3.数据分析与可视化:利用Python处理数据并通过Web界面展示。4.机器学习与AI:Python用于构建智能Web应用。5.性能优化:通过异步编程、缓存和代码优
