AWS - S3 Persistence
S3
有关更多信息,请查看:
KMS 客户端加密
当加密过程完成后,用户将使用 KMS API 生成一个新密钥(aws kms generate-data-key
),并将生成的加密密钥存储在文件的元数据中(python 代码示例),这样在解密时可以再次使用 KMS 进行解密:
因此,攻击者可以从元数据中获取此密钥,并使用 KMS(aws kms decrypt
)进行解密,以获取用于加密信息的密钥。这样,攻击者将拥有加密密钥,如果该密钥被重用于加密其他文件,他将能够使用它。
使用 S3 ACLs
尽管通常桶的 ACL 是禁用的,但具有足够权限的攻击者可以滥用它们(如果启用或攻击者可以启用它们)以保持对 S3 桶的访问。
Last updated