云环境下密钥泄露导致的安全问题( 二 ) _云环境

其中要是想对指定的Bucket 进行操作，我们还需要知道对应的Bucket 名称，以及所属地域Region。
cosplay!这里使用GEEKPWN云安全比赛的一道题作为例子来讲一下腾讯云临时密钥的利用。
题目打开是一个上传页面

文章插图

这里我们随便选择一个文件上传，然后使用burp捕获一下数据包

文章插图

这里发现了一个GetTempKey接口，其返回了临时密钥的相关信息

文章插图

这里主要关心TmpSecretId、TmpSecretKey、Token这三个字段，因为这三个字段是计算签名的必要条件。腾讯云公布的有专门计算签名的工具。
更多关于计算签名的细节参考官方文档(https://cloud.tencent.com/document/product/436/7778）。
这道题我们选择更简便的方式，官方还提供了COS 请求工具，使用说明（https://cloud.tencent.com/document/product/436/30996）。

文章插图

想对指定的Bucket 进行操作，我们还需要知道对应的Bucket 名称，以及所属地域Region 。通过查看页面源码发现泄露了对应的Bucket 名称以及Region 。

文章插图

有了这些条件后我们就可以访问cos的资源了。选择使用临时密钥进行访问。x-cos-security-token的值为返回字段中Token的值。

文章插图

找了一个flag.txt,查看flag.txt的内容。参数key为其所在key标签的值，类似于目录。

文章插图

成功拿到flag 。
通过这道题我们可以发现临时密钥的权限比较小，获取难度较大。同时临时密钥存在生效时间，默认为1800s 。所以，相对于固定密钥也更为安全可靠。
其它上面讨论的是国内的厂商，当然国外的云厂商，如Amazon的AWS，也存在很多安全问题，例如S3存储桶配置不当，泄露AccessKey后，可对S3存储桶进行增删操作，这里的S3类似于OSS、Elastic Beanstalk中利用SSRF访问元数据，获取AccessKey等一些敏感信息等等。
AWS AccessKey的获取手段：

Github关键词查找，accessKeyId、secretAccessKey、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY 。
通过网站目录或者泄漏出来的源代码或者DEBUG信息。
SSRF读取元数据。
前端页源代码。

AWS常见的漏洞类型：

AmazonS3 Bucket允许任意文件上传和读取
AmazonS3 bucket允许匿名访问
AmazonS3 bucket允许列出文件
AmazonS3 bucket允许盲上传
AmazonS3 bucket允许任意读取/写入对象
AmazonS3 bucket显示ACP/ACL

推荐几个hackerone报告
Legal Robot：错误配置导致的信息泄露（https://hackerone.com/reports/189023）
Zomato：错误配置导致的非法改动文件（https://hackerone.com/reports/229690）
Reverb.com:错误配置导致的任意文件上传（https://hackerone.com/reports/172549）
Ruby:错误配置导致的任意文件删除（https://hackerone.com/reports/209223）
Twitter:错误配置导致的文件读取，写入，删除（https://hackerone.com/reports/129381）
从上面的报告便可以看出大多数云漏洞的产生是由于客户配置错误，凭证管理不当泄漏，而不是云提供商方面的漏洞。
最后如今越来越多的企业选择"上云"，这一点从日常的漏洞挖掘测试中便可见一斑。但是企业选择云服务的同时却没有按按照厂商的最佳实践方案进行操作，从而就会产生诸多问题，严重者甚至会丧失云服务器的操作权限。再次印证了人才是安全中最大的漏洞。因此，在云时代，云安全的建设不可或缺。另一方面，云厂商是否也要考虑更安全可靠的接口认证，把安全操作更多的留给自己，临时密钥就是一个不错的引入。
实验推荐