- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全攻防
云主机AKSK泄露利用
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略该操作并返回错误码
6.6K40编辑于 2023-10-23 - 来自专栏数安视界
关于AKSK安全保护的一点思考
AKSK业务隔离手段缺失,比如多个业务共有一对AKSK,这样任何一个业务造成的AKSK泄露都会导致其他业务受影响。 AKSK安全分发手段缺失,比如直接通过微信、企业微信等即时通讯工具对AKSK口口相传等等。 此时一定引起另一个问题,前面也分析到了,如果AKSK保护在了云平台上,那么访问云平台不是也需要AKSK么?这个AKSK又从哪里来?其实很简单:用另一个AKSK来访问。 前面我们已经讨论了一种看起来似乎可行的方案:将问题从保护大权限AKSK,转化成了保护小权限的AKSK。 业务在进程启动时,首先通过白盒密钥解密AKSK密文,获取到只读子账号的AKSK明文,然后通过只读子账号的AKSK去访问凭据A,获取到凭据A的明文。8.
13.4K4727编辑于 2023-06-04 - 来自专栏程序猿杜小头
AKSK 认证模式在开放 API 中的应用
为了验证开放 API 请求的合法性,必须要对 API 请求方进行认证,一般有两种认证模式,即HTTP Basic和AK/SK。
3.8K20编辑于 2023-09-02 - 来自专栏从流域到海域
JWT和HMAC(AKSK)认证方式的区别和使用场景
HMAC(Hash-based Message Authentic Code),即基于hash的消息认证码,它使用哈希算法,以一个密钥和一个消息作为输入,生成一个消息摘要作为输出,服务端通过对比发送的摘要和自己生成的摘要是否相同完成认证。
4K20编辑于 2022-04-13 - 来自专栏红蓝对抗
记对某根域的一次渗透测试
发现上传设置处可进行文件上传设置后缀名称,但是实际操作发现并不能成功上传,此后台有多出文件上传点都没有,而且这个cms版本是没有爆出过漏洞的,所以此处文件上传应该是比较难搞的 通过各种...发现七牛云存储的aksk 泄露,这还得了,直接连上去看看是不是真的aksk啊,不仅发现能够连接,而且此云存储服务器还有此根域下面的其他子域名的文件等信息,我猜测所有子域名下的云文件都在该文件服务器上,仅仅一个域名就有高达50G左右的文件 ,其他两个文件也有10G左右 除了最重要的文件服务器aksk泄露以外,还有短信APPkey泄露,以及微信小小程序key泄露,可直接获取access_token信息 发现该域名也存在弱口令并且也是使用的THINKCMF
37910编辑于 2024-07-24 记对某根域的一次渗透测试
发现上传设置处可进行文件上传设置后缀名称,但是实际操作发现并不能成功上传,此后台有多出文件上传点都没有,而且这个cms版本是没有爆出过漏洞的,所以此处文件上传应该是比较难搞的 通过各种...发现七牛云存储的aksk 泄露,这还得了,直接连上去看看是不是真的aksk啊,不仅发现能够连接,而且此云存储服务器还有此根域下面的其他子域名的文件等信息,我猜测所有子域名下的云文件都在该文件服务器上,仅仅一个域名就有高达50G左右的文件 ,其他两个文件也有10G左右 除了最重要的文件服务器aksk泄露以外,还有短信APPkey泄露,以及微信小小程序key泄露,可直接获取access_token信息 发现该域名也存在弱口令并且也是使用的THINKCMF
41720编辑于 2024-08-07使用云函数更新TEO节点IP到安全组
IPV6安全组IDMAX_IPS = 400 # 请提前申请配额到 400,否则一个安全组装不下AKID = os.environ.get('APP_TENCENTCLOUD_SECRETID', "")AKSK AssertionError("Too many IP addresses") client = vpc_client.VpcClient(credential.Credential(AKID, AKSK
80310编辑于 2024-07-07- 来自专栏数安视界
基于腾讯云 SSM 的配置管理实践
在 SSM 系统接收真正的请求之前,腾讯云的 CAM 需要对请求做鉴权操作,这里的鉴权包括对云平台密钥 AKSK 进行鉴权,对用户账号能否访问特定资源的鉴权等。 raise e 无论使用 Python 语言的 SDK亦或是 Golang、Java、CPP 等等其他语言的 SDK,在通过 SDK 调用 SSM 的云 API 接口前都需要先获取云平台的 AKSK 基于 SSM 的云上密钥 AKSK 的安全保护 不知道大家注意到没,本篇文章中,所有示例代码里面,在获取 SecretId 和 SecretKey 时,都是使用环境变量从本地读取的方式来做的,其实这是一种不太安全的做法 AKSK 作为云平台的入口凭据,其重要程度不言而喻,但是对于 AKSK 的保护是一个很复杂的话题,其不仅仅涉及到 SDK 集成和编码,还对内部数据安全治理体系提出了更高的要求,因为篇幅限制,这部分内容这里不具体展开 ,感兴趣的同学可以先看看作者之前的文章: 《关于AKSK安全保护的一点思考》 如果有疑问欢迎在评论区留言!
2.4K6224编辑于 2023-07-05 - 来自专栏腾讯云TStack专栏
对象存储,了解一下
后面简称 aksk。 User 一个 User 可以通过自己的 aksk 进行"登录" 对象存储服务,然后就可以看到自己的 Bucket。 Bucket S3 中的一个重要概念,即存储桶。 这里重温下对象存储的三个概念,这里有一个名为 s3-usage 的桶,桶里面保存着一个名为 s3browser-7-6-9.exe的对象,并且这个对象的访问权限为 public-read,因此其他用户可以无需该用户的 aksk
4.4K31发布于 2018-10-12 - 来自专栏OneTS安全团队
一分钟教你学会hook调试WX小程序
即可开始hook 此时只需要打开你需要调试的小程序,就可以开启调试了 4、信息泄露导致RCE 打开DevTools后,习惯性的看一下js文件,突然发现有一个config.js的文件,点开看一眼,竟然泄露了AkSk
2.9K10编辑于 2025-02-07 - 来自专栏Timeline Sec
工具 | 一款精确检查IP是否为CDN节点的工具CheckCdn
AK、SK获取后请保存,高权限的AKSK可以调取云平台的相关服务、请求。 下面操作部分云厂商需要开启CDN服务,其中涉及到开通需要充值一定数额才可使用。 获取AK/SK_API签名指南_华为云 (huaweicloud.com): https://support.huaweicloud.com/devg-apisign/api-sign-provide-aksk.html
1.6K11编辑于 2024-11-23 TF在腾讯云创建mysql跨可用区只读实例
本文将通过Terraform工具,指导您在腾讯云上配置位于广州地域的MySQL主数据库实例,并部署位于上海地域的跨可用区只读实例 1、准备aksk 2、定义provider.tf terraform {
65800编辑于 2025-02-28- 来自专栏红蓝对抗
渗透|记一次抽丝剥茧式的渗透测试
网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。
42520编辑于 2023-09-25 Packer构建自定义镜像如何使用ssh密钥
rid=1&pid=-1注意:创建ssh密钥后会自动下载私钥,保存好私钥3、定义支持ssh密钥的packer模版,设置aksk{ "variables": { "secret_id": "{{env
62310编辑于 2024-12-13- 来自专栏红蓝对抗
渗透|记一次抽丝剥茧式的渗透测试
网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。
61450编辑于 2023-09-15 - 来自专栏云运营日记
Custodian-自动化管理云环境
- name: cam-aksk-update
61910编辑于 2024-03-17 腾讯安全服务助力XX健康全面识别并修复云上风险,提升防御能力
手机号等)与访问路径分析,定位泄露风险 身份权限风险评估:建立云身份权限模型,检测过度授权与非活跃账号,识别特权账号风险 云安全综合评估:覆盖互联网暴露面、云资产基线、安全产品策略及云特有配置(如AKSK
13420编辑于 2026-04-05- 来自专栏OneTS安全团队
【重要】ARL-plus新版V3.0.1发布!!!
2、新增功能 中央数据库(数据库逻辑大改,整个过程会非常丝滑) 修改了rabbitmq的超时时间 调整nuclei和文件泄露顺序,将nuclei和文件泄露挪到最后扫描 调整wih参数,禁用aksk校验,
55700编辑于 2025-02-07 - 来自专栏全栈程序员必看
0元搭建卡盟主站_哪个卡盟平台好
AK/SK认证方式使用SDK 在“image_moderation_aksk_demo.php”文件中配置“app_key”,“app_secret”。
3.2K30编辑于 2022-09-21 大模型应用实践:AI 助力 Code Review 安全漏洞发现
典型案例 1:成功检出某业务 Web 前端代码中存在 AKSK 硬编码。若直接发布到线上环境,黑客扫描网页即可获取相应 AKSK ,进而使用该账号下的所有资源。可能造成严重的数据泄露事故。
1.7K10编辑于 2025-01-03
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号