미션 크리티컬 리소스에 대해 미리 추측 가능한 이름을 사용하지 마세요
TL;DR: 예측 가능한 명명 패턴을 피하여 클라우드 리소스를 보호하세요.
문제
예상 가능한 이름
무단 접근
데이터 노출 위험
섀도우 리소스
계정 탈취
Idor 취약점
조기 최적화
솔루션
어두운 키와 함께 고유한 버킷 이름을 사용하세요
작성 시 소유권 확인
자원 완전 확보
실명을 난독화하는 간접 참조
스쿼트 예방을 위한 책 이름
이름 무작위 지정
문맥
리소스 무단 점유는 공격자가 S3 버킷과 같은 클라우드 리소스의 명명 패턴을 예상할 때 발생합니다.
공격자는 사용자가 아직 리소스를 배포하지 않은 지역에 이를 생성합니다.
이러한 공격자가 소유한 리소스와 사용자가 상호 작용하면 데이터 노출, 무단 액세스 또는 계정 탈취와 같은 심각한 보안 위반이 발생할 수 있습니다.
이 취약점은 예측 가능한 명명 규칙이 자주 사용되는 AWS와 같은 환경에서 매우 중요합니다.
많은 시스템에서는 성급한 최적화의 명백한 사례인 성능 저하를 두려워하여 이러한 간접적인 방법을 피합니다.
샘플 코드
잘못된
def create_bucket(account_id, region):
bucket_name = f"aws-glue-assets-{account_id}-{region}"
create_s3_bucket(bucket_name)
# This is deterministic and open
오른쪽
import uuid
def create_bucket(account_id, region):
unique_id = uuid.uuid4().hex
# This number is not deterministic
# is a way to generate a random UUID (Universally Unique Identifier)
# in Python and then retrieve it as a hexadecimal string.
bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
create_s3_bucket(bucket_name)
verify_bucket_ownership(bucket_name, account_id)
발각
[X] 자동
보안 감사에서는 리소스 이름의 예측 가능성을 분석하여 이러한 냄새를 감지할 수 있습니다.
공격자가 쉽게 예상하거나 추측할 수 있는 이름의 패턴을 찾으세요.
다양한 자동화 도구와 수동 코드 검토가 이러한 위험을 식별하는 데 도움이 될 수 있습니다.
태그
- 보안
수준
[X] 중급
AI 세대
AI 생성기는 예측 가능한 명명 패턴이 있는 표준 템플릿을 사용하여 이 냄새를 생성할 수 있습니다.
보안을 위해 생성된 코드를 항상 맞춤설정하고 검토하세요.
AI 탐지
예측 가능하거나 안전하지 않은 리소스 명명 규칙을 식별하는 규칙으로 구성된 경우 AI는 이 냄새를 감지하는 데 도움이 될 수 있습니다.
클라우드 인프라와 잠재적인 공격 벡터에 대한 이해가 필요한 보안 위험입니다.
결론
클라우드 리소스를 보호하려면 예측 가능한 명명 패턴을 피하는 것이 중요합니다.
항상 고유하고 모호하며 추측하기 어려운 이름을 사용하고 리소스 소유권을 확인하여 무단 점유 공격으로부터 보호하세요.
처지
코드 냄새 120 - 순차 ID
맥시 콘티에리 ・ 2022년 3월 10일
추가 정보
GB 해커
위키피디아
부인 성명
코드 냄새는 제 생각입니다.
크레딧
사진: Felix Koutchinski, Unsplash
진정으로 안전한 유일한 시스템은 전원이 꺼져 있고 플러그가 뽑혀 있고, 티타늄으로 덧댄 금고에 잠겨 있으며, 콘크리트 벙커에 묻혀 있고, 신경 가스와 높은 보수를 받는 무장 경비원으로 둘러싸여 있는 시스템입니다. 그래도 목숨을 걸지는 않겠습니다.
진 스패포드
소프트웨어 엔지니어링 명언
맥시 콘티에리 ・ 2020년 12월 28일
이 글은 CodeSmell 시리즈의 일부입니다.
코드에서 이상한 부분을 찾는 방법
맥시 콘티에리 ・ 2021년 5월 21일
위 내용은 코드 냄새 - 쪼그리고 앉기의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
2 시간의 파이썬 계획 : 현실적인 접근Apr 11, 2025 am 12:04 AM2 시간 이내에 Python의 기본 프로그래밍 개념과 기술을 배울 수 있습니다. 1. 변수 및 데이터 유형을 배우기, 2. 마스터 제어 흐름 (조건부 명세서 및 루프), 3. 기능의 정의 및 사용을 이해하십시오. 4. 간단한 예제 및 코드 스 니펫을 통해 Python 프로그래밍을 신속하게 시작하십시오.
파이썬 : 기본 응용 프로그램 탐색Apr 10, 2025 am 09:41 AMPython은 웹 개발, 데이터 과학, 기계 학습, 자동화 및 스크립팅 분야에서 널리 사용됩니다. 1) 웹 개발에서 Django 및 Flask 프레임 워크는 개발 프로세스를 단순화합니다. 2) 데이터 과학 및 기계 학습 분야에서 Numpy, Pandas, Scikit-Learn 및 Tensorflow 라이브러리는 강력한 지원을 제공합니다. 3) 자동화 및 스크립팅 측면에서 Python은 자동화 된 테스트 및 시스템 관리와 같은 작업에 적합합니다.
2 시간 안에 얼마나 많은 파이썬을 배울 수 있습니까?Apr 09, 2025 pm 04:33 PM2 시간 이내에 파이썬의 기본 사항을 배울 수 있습니다. 1. 변수 및 데이터 유형을 배우십시오. 이를 통해 간단한 파이썬 프로그램 작성을 시작하는 데 도움이됩니다.
10 시간 이내에 프로젝트 및 문제 중심 방법에서 컴퓨터 초보자 프로그래밍 기본 사항을 가르치는 방법?Apr 02, 2025 am 07:18 AM10 시간 이내에 컴퓨터 초보자 프로그래밍 기본 사항을 가르치는 방법은 무엇입니까? 컴퓨터 초보자에게 프로그래밍 지식을 가르치는 데 10 시간 밖에 걸리지 않는다면 무엇을 가르치기로 선택 하시겠습니까?
중간 독서를 위해 Fiddler를 사용할 때 브라우저에서 감지되는 것을 피하는 방법은 무엇입니까?Apr 02, 2025 am 07:15 AMFiddlerevery Where를 사용할 때 Man-in-the-Middle Reading에 Fiddlereverywhere를 사용할 때 감지되는 방법 ...
Python 3.6에 피클 파일을로드 할 때 '__builtin__'모듈을 찾을 수없는 경우 어떻게해야합니까?Apr 02, 2025 am 07:12 AMPython 3.6에 피클 파일로드 3.6 환경 보고서 오류 : modulenotfounderror : nomodulename ...
경치 좋은 스팟 코멘트 분석에서 Jieba Word 세분화의 정확성을 향상시키는 방법은 무엇입니까?Apr 02, 2025 am 07:09 AM경치 좋은 스팟 댓글 분석에서 Jieba Word 세분화 문제를 해결하는 방법은 무엇입니까? 경치가 좋은 스팟 댓글 및 분석을 수행 할 때 종종 Jieba Word 세분화 도구를 사용하여 텍스트를 처리합니다 ...
정규 표현식을 사용하여 첫 번째 닫힌 태그와 정지와 일치하는 방법은 무엇입니까?Apr 02, 2025 am 07:06 AM정규 표현식을 사용하여 첫 번째 닫힌 태그와 정지와 일치하는 방법은 무엇입니까? HTML 또는 기타 마크 업 언어를 다룰 때는 정규 표현식이 종종 필요합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
