!
也想出现在这里? 联系我们
创意广告

某鹅一次AK /SK 泄露导致拿下存储桶

第一次写文章师傅们 轻喷~

起因

大二学生上课摸鱼,然后正常在测一些东西,emm 偶然在前端发现

发现了 AK 等字样~ 心里窃喜 洞要来了 ? !!
直接用现成的工具 就好
图片[1]-某鹅一次AK /SK 泄露导致拿下存储桶-安全小天地
然后进一步利用的话 可以做存储桶的拼接
log.xxx.12345678.cos.ap-shanghai-cos.myqcloud.com
图片[2]-某鹅一次AK /SK 泄露导致拿下存储桶-安全小天地
这样的话又可以进一步增加危害了~
不过事实上 访问之后 并没有做限制 也就是另一个师傅前几天说的

(在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶)
emm这个洞也是给了 6500 块(这不展示了 展示了师傅们就知道哪个厂了^)

结果

摸鱼的一天就这样结束了~ 如果师傅们有更骚的操作的话 可以跟我讨论 ~

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容