S3

더 많은 정보는 확인하세요:

KMS 클라이언트 측 암호화

암호화 프로세스가 완료되면 사용자는 KMS API를 사용하여 새 키를 생성(aws kms generate-data-key)하고 파일의 메타데이터에 생성된 암호화된 키를 저장할 것입니다 (파이썬 코드 예시). 따라서 복호화가 발생할 때 KMS를 다시 사용하여 해당 키를 사용하여 복호화할 수 있습니다.

따라서 공격자는 이 키를 메타데이터에서 가져와 KMS를 사용하여 복호화(aws kms decrypt)하여 정보를 암호화하는 데 사용된 키를 얻을 수 있습니다. 이 방법으로 공격자는 암호화 키를 가지게 되며 해당 키가 다른 파일을 암호화하는 데 재사용된 경우 사용할 수 있습니다.

S3 ACL 사용

일반적으로 버킷의 ACL은 비활성화되어 있지만 충분한 권한을 가진 공격자는 (활성화되어 있거나 공격자가 활성화할 수 있는 경우) ACL을 남용하여 S3 버킷에 대한 액세스를 유지할 수 있습니다.