云安全 | AWS S3存储桶安全设计缺陷分析

什么是AWS S3?

默认情况下,Amazon S3 是安全的。创建后,只有资源所有者才能访问他们创建的 Amazon S3 资源**。** Amazon S3 支持用户身份验证来控制对数据的访问。 您可以使用存储桶策略和访问控制列表 (ACL) 等访问控制机制来有选择地向用户和用户组授予权限。Amazon S3控制台会突出显示您的可公开访问的存储桶,指出公开可访问的资源,如果对您的存储桶策略或存储桶 ACL 的更改将使您的存储桶可公开访问,还会向您发出警告:您应该为您不希望公开访问的所有帐户和存储桶启用"阻止公共访问"。

您可以使用 HTTPS 协议通过 SSL 终端节点安全地将数据上传/下载到 Amazon S3。如果您需要额外的安全性,可以使用服务器端加密 (SSE) 选项来加密静态存储的数据 。如果传入的存储请求没有任何加密信息,您可以将 Amazon S3 存储桶配置为在存储对象之前自动对其进行加密。或者,您可以使用自己的加密库对数据进行加密,然后再将其存储在 Amazon S3 中。

Amazon Simple Storage Service (S3) 是一项 AWS 服务,供用户以持久、可扩展、高度可用且安全的方式存储和检索数据。S3 Bucket 的主要亮点是:

•用户身份验证以控制对数据的访问

•访问控制列表 (ACL) 可与存储桶策略结合使用来管理访问权限最高的用户或用户组

•可以通过起诉阻止公共访问来阻止公共访问

•数据可以使用 HTTPS 协议通过 SSL 端点上传或下载到 S3

•服务器端加密 (SSE) 可用于保护静态数据

•还可以配置存储前自动加密

S3中的IAM 策略类似于 Windows 组策略,为组及其用户提供非常具体的访问和控制权限。创建新用户和安全策略可能既复杂又耗时,这将导致经验不足的公司开放他们不像开放的权限。

与 Windows 策略错误一样,S3 存储桶上宽松的身份管理可能会产生不同的影响 --- 从轻微的信息泄漏到全面的数据泄露。例如,一些站点使用 S3 作为服务图像和 Javascript 等资产的平台。而其他人则使用 S3 将完整的服务器备份推送到云端。无论用例是什么,如果不进行适当的管理,都会存在一些漏洞。由此产生的漏洞不仅会带来问题的存在风险,还会带来漏洞存在的环境风险。

S3存储桶中的漏洞

对于渗透测试人员来说,要查找 AWS 托管应用程序中的漏洞,检查 S3 存储桶的存在和配置可以帮助识别数据漏洞、authN 和 authZ 问题等。如果这些漏洞存在**,攻击者可以完全访问您的 S3 存储桶,从而允许它们可以下载、上传和覆盖文件。**

攻击者将如何利用您的 S3 存储桶?

S3 存储桶名称并不是秘密,有很多方法可以找出它,如本文所述。一旦攻击者找到 S3 存储桶名称,他们就可以访问可用于访问或修改信息的配置信息,从而导致三种不同的情况。通过使用 AWS 命令行与 Amazon 的 API 对话,攻击者可以:

1.访问列表并读取 S3 存储桶中的文件

2.将文件写入/上传到 S3 存储桶

3.更改所有对象的访问权限并控制文件的内容(完全控制存储桶并不意味着攻击者获得对象的完全读取权限,但他们可以控制内容)

AWS 意识到这个安全问题,但不太可能缓解它,因为它是由用户配置错误和设计缺陷引起的。

许多公司将敏感数据存储在S3存储桶中,任何泄露都可能对公司的业务造成重大影响。Instagram 中的一个价值百万美元的漏洞允许攻击者读取 Instagram 上的所有图像和帐户。

Hackone报告还有另一个有趣的例子,安全研究人员可以将文件写入公司存储桶,而无需任何读取访问权限:https://hackerone.com/reports/128088

如何利用 S3 存储桶:

存储桶: https:// -uploads.s3-eu-west-1.amazonaws.com/

1.在 Windows/Linux/Mac 计算机中配置 AWS CLI:https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html

2.从 CLI 执行以下命令

上传文件 --- aws s3 cp test.html s3://-uploads/删除文件 --- aws s3 rm s3://-uploads/test.html列出文件 --- aws s3 ls s3://-uploads/

img

谷歌Dorking

Google 是查找存储桶名称的另一个有用的地方,但它们很少出现。以下是一些呆子的例子:

•site:s3.amazonaws.com 示例

•site:s3.amazonaws.com example.com

•site:s3.amazonaws.com example-com

•site:s3.amazonaws.com com.example

•site:s3.amazonaws.com com-example

•site:s3.amazonaws.com filetype:xls password

可以使用AWSBucketDump:https://github.com/jordanpotti/AWSBucketDump 、 bucketkicker:https://github.com/craighays/bucketkicker等开源工具自动化流程 ,也可以使用greyhatwafare:https://buckets.grayhatwarfare.com/工具在线搜索互联网公开的 S3 存储桶。

S3 中的漏洞链:

反射式XSS 。如果我们可以执行 BUCKET READ,我们就可以列出资产并可能找到易受攻击的对象,例如在公司域上提供的易受攻击的 SWF。

存储型 XSS/资产控制。如果我们可以执行 BUCKET WRITE 或 BUCKET WRITE-ACP(也意味着对象写入),我们就可以修改现有内容或创建新内容,能够修改 javascript/css 文件或上传新的 HTML 文件。

Dos攻击。如果我们可以使用 OBJECT WRITE-ACP 修改对象的 ACP,我们就可以防止对象公开加载。

信息泄露。如果我们可以列出对象,我们可能会发现敏感信息。

远程代码执行。如果存储桶包含可修改的可执行文件,则可能会导致远程代码执行 (RCE),具体取决于可执行文件的使用位置以及它们是否/由谁下载。

其他漏洞:

•Amazon S3 存储桶允许完全匿名访问

•Amazon S3 存储桶允许列出任意文件

•Amazon S3 存储桶允许任意文件上传和公开

•Amazon S3 存储桶允许盲目上传

•Amazon S3 存储桶允许任意读取/写入对象

•Amazon S3 存储桶显示 ACP/AC

如何缓解/修复这些漏洞?

使用基于资源的访问策略授予对存储桶和对象的访问权限。在高层次上重点关注:

•阻止公共访问

•编辑存储桶公共访问设置

•编辑帐户公共访问设置

•设置对象权限

•设置ACL存储桶权限

•添加存储桶策略

•通过CORS添加跨域资源共享

•使用 S3 访问分析器

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

相关推荐
黑龙江亿林等级保护测评21 分钟前
做等保二级备案需要准备哪些材料
网络·安全·金融·智能路由器·ddos
星海幻影40 分钟前
网络安全知识见闻终章 ?
网络·安全·web安全
kinlon.liu41 分钟前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节
马戏团小丑1 小时前
fastjson/jackson对getter,setter和constructor的区分
java·安全
dessler1 小时前
Linux系统-开关机
linux·运维·云计算
hanniuniu133 小时前
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
网络协议·tcp/ip·安全
Gnevergiveup3 小时前
源鲁杯2024赛题复现Web Misc部分WP
安全·网络安全·ctf·misc
星海幻影3 小时前
安全见闻-web安全
安全·web安全
黑龙江亿林等级保护测评3 小时前
等保行业如何面对新兴安全威胁
网络·安全·金融·智能路由器·ddos
BinTools图尔兹5 小时前
CQ社区版 v2024.10 | 支持k8s、helm部署!
数据库·安全·k8s·helm·数据安全·数据库管理员