1. AWS S3 バケットの構成ミスにより、数百万の個人情報 (PII) が取得されました
最初に対象の Web サイトをテストしたとき、高リスクの脆弱性については、1 時間近くの検出と分析を行った結果、重要ではない IDOR および XSS の脆弱性がいくつかあることがわかりましたが、高リスクの脆弱性は存在しませんでした。諦めかけたとき、対象の Web サイトが Amazon Cloudfront サービスを使用して公開画像を保存しており、そのストレージ URL リンクが次のようなものであることを発見しました:
https://d3ez8in977xyz。 cloudfront.net/avatars /009afs8253c47248886d8ba021fd411f.jpg
最初は、これは単なるオープン オンライン データ サービスだと思いました。何気なく https://d3ez8in977xyz.cloudfront.net## にアクセスしました。 # Web サイトで、いくつかの公開画像ファイルが保存されていることがわかりましたが、これらの画像ファイルに加えて、音声チャットのコンテンツ、音声通話のコンテンツなどの機密性の高い個人データ情報も保存されていることを発見して驚きました。 、テキストメッセージの内容、および他のユーザーのプライバシー文書。
以上がAWS S3 バケットの構成ミス - 数百万の個人情報が流出の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。