简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
기사
Q&A
강의
주제
다운로드
게임
사전
최근 업데이트

 >  기사  >  백엔드 개발  >  코드 냄새 - 쪼그리고 앉기

코드 냄새 - 쪼그리고 앉기

PHPz
PHPz원래의
2024-08-14 10:38:13704검색

미션 크리티컬 리소스에 대해 미리 추측 가능한 이름을 사용하지 마세요

TL;DR: 예측 가능한 명명 패턴을 피하여 클라우드 리소스를 보호하세요.

문제

  • 예상 가능한 이름

  • 무단 접근

  • 데이터 노출 위험

  • 섀도우 리소스

  • 계정 탈취

  • Idor 취약점

  • 조기 최적화

솔루션

  1. 어두운 키와 함께 고유한 버킷 이름을 사용하세요

  2. 작성 시 소유권 확인

  3. 자원 완전 확보

  4. 실명을 난독화하는 간접 참조

  5. 스쿼트 예방을 위한 책 이름

  6. 이름 무작위 지정

문맥

리소스 무단 점유는 공격자가 S3 버킷과 같은 클라우드 리소스의 명명 패턴을 예상할 때 발생합니다.

공격자는 사용자가 아직 리소스를 배포하지 않은 지역에 이를 생성합니다.

이러한 공격자가 소유한 리소스와 사용자가 상호 작용하면 데이터 노출, 무단 액세스 또는 계정 탈취와 같은 심각한 보안 위반이 발생할 수 있습니다.

이 취약점은 예측 가능한 명명 규칙이 자주 사용되는 AWS와 같은 환경에서 매우 중요합니다.

많은 시스템에서는 성급한 최적화의 명백한 사례인 성능 저하를 두려워하여 이러한 간접적인 방법을 피합니다.

샘플 코드

잘못된 

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open

오른쪽 

import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)

발각

[X] 자동

보안 감사에서는 리소스 이름의 예측 가능성을 분석하여 이러한 냄새를 감지할 수 있습니다.

공격자가 쉽게 예상하거나 추측할 수 있는 이름의 패턴을 찾으세요.

다양한 자동화 도구와 수동 코드 검토가 이러한 위험을 식별하는 데 도움이 될 수 있습니다.

태그

  • 보안

수준

[X] 중급

AI 세대

AI 생성기는 예측 가능한 명명 패턴이 있는 표준 템플릿을 사용하여 이 냄새를 생성할 수 있습니다.

보안을 위해 생성된 코드를 항상 맞춤설정하고 검토하세요.

AI 탐지

예측 가능하거나 안전하지 않은 리소스 명명 규칙을 식별하는 규칙으로 구성된 경우 AI는 이 냄새를 감지하는 데 도움이 될 수 있습니다.

클라우드 인프라와 잠재적인 공격 벡터에 대한 이해가 필요한 보안 위험입니다.

결론

클라우드 리소스를 보호하려면 예측 가능한 명명 패턴을 피하는 것이 중요합니다.

항상 고유하고 모호하며 추측하기 어려운 이름을 사용하고 리소스 소유권을 확인하여 무단 점유 공격으로부터 보호하세요.

처지

Code Smell - Squatting

코드 냄새 120 - 순차 ID

맥시 콘티에리 ・ 2022년 3월 10일

추가 정보

GB 해커

위키피디아

부인 성명

코드 냄새는 제 생각입니다.

크레딧

사진: Felix Koutchinski, Unsplash

진정으로 안전한 유일한 시스템은 전원이 꺼져 있고 플러그가 뽑혀 있고, 티타늄으로 덧댄 금고에 잠겨 있으며, 콘크리트 벙커에 묻혀 있고, 신경 가스와 높은 보수를 받는 무장 경비원으로 둘러싸여 있는 시스템입니다. 그래도 목숨을 걸지는 않겠습니다.

진 스패포드

Code Smell - Squatting

소프트웨어 엔지니어링 명언

맥시 콘티에리 ・ 2020년 12월 28일

#코드뉴비 #프로그램 작성 #인용 부호 #소프트웨어

이 글은 CodeSmell 시리즈의 일부입니다.

Code Smell - Squatting

코드에서 이상한 부분을 찾는 방법

맥시 콘티에리 ・ 2021년 5월 21일

#코드뉴비 #지도 시간 #코드품질 #초보자

위 내용은 코드 냄새 - 쪼그리고 앉기의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

Resource if for using this Access
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:Ollama 및 LangChain을 사용하여 로컬 RAG 에이전트를 만드는 방법다음 기사:Ollama 및 LangChain을 사용하여 로컬 RAG 에이전트를 만드는 방법

관련 기사

더보기