検索
ホームページバックエンド開発Python チュートリアルコードの匂い - しゃがむ

コードの匂い - しゃがむ

PHPz
PHPz
Aug 14, 2024 am 10:38 AM

ミッションクリティカルなリソースには、事前に推測可能な名前を使用しないでください

TL;DR: 予測可能な名前付けパターンを避けて、クラウド リソースを保護します。

問題点

  • 予測可能な名前

  • 不正アクセス

  • データ漏洩のリスク

  • シャドウ リソース

  • アカウントの乗っ取り

  • アイドルの脆弱性

  • 時期尚早な最適化

ソリューション

  1. ダークキーを持つ一意のバケット名を使用する

  2. 作成時に所有権を確認します

  3. リソースを完全に確保します

  4. 実際の名前を難読化する間接表現を使用します

  5. しゃがみを防止する本の名前

  6. 名前をランダム化します

コンテクスト

リソース占有は、攻撃者が S3 バケットなどのクラウド リソースの命名パターンを予測したときに発生します。

攻撃者は、ユーザーがリソースをまだデプロイしていないリージョンにそれらを作成します。

これらの攻撃者が所有するリソースをユーザーが操作すると、データ漏洩、不正アクセス、アカウント乗っ取りなどの重大なセキュリティ侵害が発生する可能性があります。

この脆弱性は、予測可能な命名規則がよく使用される AWS のような環境では重大です。

多くのシステムは、明らかな時期尚早の最適化であるパフォーマンスのペナルティを恐れて、この間接化を回避しています。

サンプルコード

間違っている 

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open


import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)

検出

[X] 自動

セキュリティ監査では、リソース名を分析して予測可能にすることで、この臭いを検出できます。

攻撃者が簡単に予測または推測できる名前のパターンを探します。

多くの自動化ツールや手動コードレビューは、これらのリスクの特定に役立ちます。

タグ

  • セキュリティ

レベル

[X] 中級

AIの生成

AI ジェネレーターは、予測可能な命名パターンを持つ標準テンプレートを使用してこの匂いを作成する場合があります。

セキュリティのために、生成されたコードを常にカスタマイズして確認してください。

AI検出

AI は、予測可能なリソース命名規則または安全でないリソース命名規則を識別するルールで構成されている場合、この臭いの検出に役立ちます。

これは、クラウド インフラストラクチャと潜在的な攻撃ベクトルを理解する必要があるセキュリティ リスクです。

結論

クラウド リソースを保護するには、予測可能な名前付けパターンを避けることが重要です。

常に固有で曖昧で推測しにくい名前を使用し、また、不法侵入攻撃から保護するためにリソースの所有権を確認してください。

関係

Code Smell - Squatting

コード スメル 120 - 連続 ID

Maxi Contieri ・ 2022 年 3 月 10 日

詳細情報

Gb ハッカー

ウィキペディア

免責事項

コードの匂いは私の意見です。

クレジット

Unsplash の Felix Koutchinski による写真

本当に安全な唯一のシステムは、スイッチが切られてプラグが抜かれ、チタンで裏打ちされた金庫に閉じ込められ、コンクリートバンカーに埋められ、神経ガスと非常に高給取りの武装警備員に囲まれたシステムです。それでも、私はそれに命を賭けるつもりはありません。

ジーン・スパフォード

Code Smell - Squatting

ソフトウェア エンジニアリングの素晴らしい名言

Maxi Contieri ・ 2020年12月28日

#コード初心者 #プログラミング #引用符 #ソフトウェア

この記事は CodeSmell シリーズの一部です。

Code Smell - Squatting

コードの怪しい部分を見つける方法

マキシ・コンティエリ ・ 2021年5月21日

#コード初心者 #チュートリアル #コード品質 #初心者

以上がコードの匂い - しゃがむの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
2時間のPython計画:現実的なアプローチ2時間のPython計画:現実的なアプローチApr 11, 2025 am 12:04 AM

2時間以内にPythonの基本的なプログラミングの概念とスキルを学ぶことができます。 1.変数とデータ型、2。マスターコントロールフロー(条件付きステートメントとループ)、3。機能の定義と使用を理解する4。

Python:主要なアプリケーションの調査Python:主要なアプリケーションの調査Apr 10, 2025 am 09:41 AM

Pythonは、Web開発、データサイエンス、機械学習、自動化、スクリプトの分野で広く使用されています。 1)Web開発では、DjangoおよびFlask Frameworksが開発プロセスを簡素化します。 2)データサイエンスと機械学習の分野では、Numpy、Pandas、Scikit-Learn、Tensorflowライブラリが強力なサポートを提供します。 3)自動化とスクリプトの観点から、Pythonは自動テストやシステム管理などのタスクに適しています。

2時間でどのくらいのPythonを学ぶことができますか?2時間でどのくらいのPythonを学ぶことができますか?Apr 09, 2025 pm 04:33 PM

2時間以内にPythonの基本を学ぶことができます。 1。変数とデータ型を学習します。2。ステートメントやループの場合などのマスター制御構造、3。関数の定義と使用を理解します。これらは、簡単なPythonプログラムの作成を開始するのに役立ちます。

プロジェクトの基本と問題駆動型の方法で10時間以内にコンピューター初心者プログラミングの基本を教える方法は?プロジェクトの基本と問題駆動型の方法で10時間以内にコンピューター初心者プログラミングの基本を教える方法は?Apr 02, 2025 am 07:18 AM

10時間以内にコンピューター初心者プログラミングの基本を教える方法は?コンピューター初心者にプログラミングの知識を教えるのに10時間しかない場合、何を教えることを選びますか...

中間の読書にどこでもfiddlerを使用するときにブラウザによって検出されないようにするにはどうすればよいですか?中間の読書にどこでもfiddlerを使用するときにブラウザによって検出されないようにするにはどうすればよいですか?Apr 02, 2025 am 07:15 AM

fiddlereveryversings for the-middleの測定値を使用するときに検出されないようにする方法

Python 3.6にピクルスファイルをロードするときに「__Builtin__」モジュールが見つからない場合はどうすればよいですか?Python 3.6にピクルスファイルをロードするときに「__Builtin__」モジュールが見つからない場合はどうすればよいですか?Apr 02, 2025 am 07:12 AM

Python 3.6のピクルスファイルのロードレポートエラー:modulenotFounderror:nomodulenamed ...

風光明媚なスポットコメント分析におけるJieba Wordセグメンテーションの精度を改善する方法は?風光明媚なスポットコメント分析におけるJieba Wordセグメンテーションの精度を改善する方法は?Apr 02, 2025 am 07:09 AM

風光明媚なスポットコメント分析におけるJieba Wordセグメンテーションの問題を解決する方法は?風光明媚なスポットコメントと分析を行っているとき、私たちはしばしばJieba Wordセグメンテーションツールを使用してテキストを処理します...

正規表現を使用して、最初の閉じたタグと停止に一致する方法は?正規表現を使用して、最初の閉じたタグと停止に一致する方法は?Apr 02, 2025 am 07:06 AM

正規表現を使用して、最初の閉じたタグと停止に一致する方法は? HTMLまたは他のマークアップ言語を扱う場合、しばしば正規表現が必要です...

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
3週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
3週間前By尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前ByDDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:Myriseのすべてのロックを解除する方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

DVWA

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

EditPlus 中国語クラック版

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません

Dreamweaver Mac版

Dreamweaver Mac版

ビジュアル Web 開発ツール

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7461
15
CakePHP チュートリアル
1376
52
Steamのアカウント名の形式は何ですか
77
11
Win11 Activation Key Permanent
44
19
NYTの接続はヒントと回答です
17
17
もっと見る