web渗透

针对亚马逊云存储器S3 BUCKET的渗透测试

讨论了一个渗透测试者在获取云服务器凭据后能做些什么。而在本文中,我将通过一个AWS的实例让大家看到即使没有获取相关凭据,我们依然可以利用其潜在的安全漏洞,来成功实施我们的渗透测试。与此同时,我们还将该方法应用于了Alexa前10,000个站点,而对于那些确认开放了S3权限的站点,我们已经向其发出了修复建议。

如何绕过并利用Bucket的上传策略和URL签名

Bucket上传策略是一种直接从客户端向Bucket(存储空间)上传数据的便捷方式。通过上传策略中的规则以及与访问某些文件的相关逻辑,我们将展示如何拿到完整的Bucket对象列表,同时能够修改或删除Bucket中的现有文件。