AWS S3配置错误导致的安全问题

前言

AWS Simple Storage Service(通常简称为S3),很多公司不愿意自建数据仓库。可以把对象和文件存储在虚拟的服务器上。
类似”A Dropbox for IT and Tech teams”,创建了一个bucket之后,就可以存储他们的数据(源代码, 证书,密码, 内容, 数据库和其他数据)
即便AWS一再说他们这个服务很安全。但是安全社区很早就指出如果服务器配置错误,那么就存在安全漏洞.
攻击者可以获取到S3 bucket的所有权限,任意下载,删除,篡改里面的文件数据。

详情

S3 bucket的名字是公开。如果存在配置错误漏洞,那么有3个被攻击的场景

  • 列出和读取在S3 bucket的文件
  • 写和上传文件到S3 bucket
  • 修改所有文件的权限

6种漏洞类型

  • Amazon S3 bucket allows for full anonymous access
  • Amazon S3 bucket allows for arbitrary file listing
  • Amazon S3 bucket allows for arbitrary file upload and exposure
  • Amazon S3 bucket allows for blind uploads
  • Amazon S3 bucket allows arbitrary read/writes of objects
  • Amazon S3 bucket reveals ACP/ACL

AWS已经知道了这个安全问题,但是很难去做什么,因为这个是属于配置错误的漏洞。
ps:这样子AWS就不对了,他们应该提示用户如何配置,
并且进行检查(或许创建的时候系统检查一次)。github源码泄漏也很严重,
但是github很努力去避免这个问题,即便这个是属于开发者的问题。

验证过程

我们先去hackerone看一下有没有漏洞详情

题外话

不知道阿里云的bucket有没有这样子的问题。

修复建议

参考链接