Bau Kod - Mencangkung

Jangan gunakan nama yang boleh diteka terlebih dahulu pada sumber misi kritikal

TL;DR: Lindungi sumber awan anda dengan mengelakkan corak penamaan yang boleh diramal.

Masalah

• Nama boleh diramal

• Akses tanpa kebenaran

• Risiko pendedahan data

• Sumber bayang

• Pengambilalihan akaun

• Kerentanan Idor

• Pengoptimuman Pramatang

Penyelesaian

1. Gunakan nama baldi unik dengan kekunci gelap

2. Sahkan pemilikan pada penciptaan

3. Lindungi sumber sepenuhnya

4. Mempunyai arahan yang mengaburkan nama sebenar

5. Nama buku untuk mengelakkan mencangkung

6. Rawakkan nama

Konteks

Pencangkungan sumber berlaku apabila penyerang menjangkakan corak penamaan sumber awan, seperti baldi S3.

Penyerang menciptanya di kawasan yang pengguna belum belum menggunakan sumber.

Interaksi pengguna dengan sumber milik penyerang ini boleh membawa kepada pelanggaran keselamatan yang teruk seperti pendedahan data, akses tanpa kebenaran atau pengambilalihan akaun.

Kerentanan ini adalah kritikal dalam persekitaran seperti AWS, di mana konvensyen penamaan boleh diramal sering digunakan.

Banyak sistem mengelakkan amaran ini kerana takut akan penalti prestasi yang merupakan kes pengoptimuman pramatang yang jelas.

Kod Contoh

salah

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open

Betul

import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)

Pengesanan

[X] Automatik

Audit keselamatan boleh mengesan bau ini dengan menganalisis nama sumber anda untuk kebolehramalan.

Cari corak dalam nama yang penyerang boleh jangkakan atau teka dengan mudah.

Banyak alat automatik dan semakan kod manual boleh membantu mengenal pasti risiko ini.

Tag

• Keselamatan

Tahap

[X] Pertengahan

Penjanaan AI

Penjana AI boleh mencipta bau ini menggunakan templat standard dengan corak penamaan yang boleh diramal.

Sentiasa sesuaikan dan semak kod yang dijana untuk keselamatan.

Pengesanan AI

AI boleh membantu mengesan bau ini jika dikonfigurasikan dengan peraturan yang mengenal pasti konvensyen penamaan sumber yang boleh diramal atau tidak selamat.

Ini ialah risiko keselamatan yang memerlukan pemahaman tentang infrastruktur awan dan potensi vektor serangan.

Kesimpulan

Mengelakkan corak penamaan yang boleh diramal adalah penting untuk mendapatkan sumber awan anda.

Sentiasa gunakan nama yang unik, tidak jelas, sukar diteka dan juga sahkan pemilikan sumber untuk melindungi daripada serangan mencangkung.

perhubungan

Bau Kod 120 - ID Berjujukan

Maxi Contieri ・ 10 Mac '22

Maklumat Lanjut

Penggodam Gb

Wikipedia

Penafian

Bau Kod adalah pendapat saya.

Kredit

Foto oleh Felix Koutchinski di Unsplash

---

Satu-satunya sistem yang benar-benar selamat ialah sistem yang dimatikan dan dicabut, dikunci dalam peti besi berlapik titanium, dikebumikan dalam kubu konkrit, dan dikelilingi oleh gas saraf dan pengawal bersenjata yang dibayar sangat tinggi. Walaupun begitu, saya tidak akan mempertaruhkan nyawa saya padanya.

Gene Spafford

Petikan Hebat Kejuruteraan Perisian

Maxi Contieri ・ 28 Dis '20

#codenewbie #pengaturcaraan #quotes #perisian

---

Artikel ini adalah sebahagian daripada Siri CodeSmell.

Cara Mencari Bahagian Busuk Kod anda

Maxi Contieri ・ 21 Mei '21

#codenewbie #tutorial #codequality #pemula

Atas ialah kandungan terperinci Bau Kod - Mencangkung. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!