| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- esbuild
- 모의해킹
- Sequoia
- 채팅환전사기
- AWS
- 허리디스크
- cve-2025-55182
- 많다..
- shell_gpt
- LFI
- speed-measure-webpack-plugin
- 내부확산
- 취약점
- 변태는
- jeb_mcp
- intelmac
- XSS
- Malware Sample
- Frida
- 네이버카페
- aes
- 척추관협착증
- 안전결제
- react2shell
- S3
- mitmproxy
- EC2
- 중고나라
- ue4dumper
- self-signed
Archives
- Today
- Total
목록aws-cli (1)
annyoung
AWS accessKey
모의해킹 하다보면 가끔 서비스에서 AWS accessKey를 발급하는 API를 사용하는 경우가 있다. 적절한 role을 부여받으면 상관은 없다 생각되는데, 이보다 과도한 role을 배정받는 경우 취약한 경우가 발생하곤한다. 예를 들어서 S3로 파일 업로드할 때 버킷에 업로드하기 위해 accessKey(aws_access_key_id, aws_secret_access_key, aws_session_token)를 요청하고 API에서는 결과를 준다. uploadObject role만 할당받은 경우 업로드만 되기 때문에 덜 취약하다고 생각할 수 있는데, 동일하게 취약하다. 왜냐면 공격자가 경로를 아는 경우 파일을 덮어씌워서 공급망 공격을 할 수 있기 때문이다.아무튼.. accessKey는 대부분 IAM role..
모의해킹
2025. 6. 18. 09:29