温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何进行接管AWS S3 bucket

发布时间:2021-12-23 10:49:03 来源:亿速云 阅读:369 作者:柒染 栏目:网络管理

如何进行接管AWS S3 bucket,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

什么是AWS S3 bucket

Amazon S3(Simple Storage Service)是一个简单的云存储器。

所有类型的文件都可以存储在这个服务中,

但是网页开发者通常用它存储静态文件,

例如图片、JavaScript 文件和层叠样式表文件。

漏洞原理

如果开发人员删除了整个数据和S3 bucket,但是绑定的CNAME记录中仍然有待删除的AWS控制台。这种情况下,攻击者可以使用任何其他AWS账户声明该S3 bucket。从而导致攻击者利用S3 bucket账户接管漏洞进行攻击。

漏洞复现

我们通过fofa收集对应资产

如何进行接管AWS S3 bucket

访问出现如下页面则说明可接管

如何进行接管AWS S3 bucket

访问出现如下页面说明不可接管

如何进行接管AWS S3 bucket

登录阿里云,选择对象存储

如何进行接管AWS S3 bucket

创建bucket

如何进行接管AWS S3 bucket

Bucket名称处填写获取到的bucketname,然后点击确定

如何进行接管AWS S3 bucket

到此我们已经完成了接管,下面通过文件管理来验证一下

如何进行接管AWS S3 bucket

如何进行接管AWS S3 bucket

访问验证存在

如何进行接管AWS S3 bucket

修复建议

删除CNAME记录

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI