前言

 项目中各厂商越来越趋势于使用云存储,云管理。 

漏洞介绍

图片 AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。
图片

如何检测

1. 使用Trufflehog插件发现AK/SK

图片

访问一个网站,若存在AK/SKtrufflehog就会弹窗提示,我本次没有弹窗,在trufflehog插件的findings查看

图片

图片

 

下载js,优化格式查看,ak、sk、Bucket均有

 

图片

 

腾讯oss网页版登陆测试,成功访问

 

图片

 

登录进去可以看到里面的存储文件

 

图片

 

若网站采用异步加载,该方法也是有效的。

 

图片

2. 利用Trufflehog扫描

图片

 

1. 首先将整个网页下载本地,放入一个文件夹中

 

图片

 

2.使用trufflehog常规扫描:

./trufflehog filesystem --directory=./sit

  

 

图片

 

3.通过所在的js文件,搜索泄露的AK/SK找到具体位置

 

图片

 

4.使用OSS浏览器配置AK/SK信息,选择区域

 

图片

 

5.然后就可以浏览所有的文件了

 

图片

 

ps:若网站采用异步加载,该方法无效。

 

图片

3. 利用Packer  Fuzzer 扫描

图片

packer fuzzer直接扫描

python3 PackerFuzzer.py -u url -l zh -t adv

  

图片 没有扫描出来   图片   ps:若网站采用异步加载,该方法无效。
图片

代理到burp保存后扫描

图片 保存全部流量请求,注意不要勾选base64  
图片 手动可以查找出AK/SK的,也就是说保存的txt文件中是有的   图片   测试一下工具能不能发现,linux和windows都没扫出来,shodankey是浏览器插件的免费key没啥用   图片   图片   若工具查找不到,可以使用正则:SecretId:”.*?”,   图片 网站采用异步加载,该方法是可以查找的(正则匹配)
图片

工具推荐

trufflehog:https://github.com/trufflesecurity/trufflehog

Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer

oss-browser:https://github.com/aliyun/oss-browser

 

原文地址:http://www.cnblogs.com/NBeveryday/p/akskbucket.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性