AWS - S3 Persistence
S3
Aby uzyskać więcej informacji, sprawdź:
pageAWS - S3, Athena & Glacier EnumSzyfrowanie po stronie klienta KMS
Po zakończeniu procesu szyfrowania użytkownik będzie używał interfejsu API KMS do wygenerowania nowego klucza (aws kms generate-data-key
) i przechowa klucz zaszyfrowany w metadanych pliku (przykład kodu w Pythonie), więc podczas deszyfrowania będzie można go ponownie zaszyfrować za pomocą KMS:
W związku z tym atakujący mógłby uzyskać ten klucz z metadanych i zdeszyfrować go za pomocą KMS (aws kms decrypt
), aby uzyskać klucz użyty do zaszyfrowania informacji. W ten sposób atakujący będzie miał klucz szyfrowania, a jeśli ten klucz zostanie ponownie użyty do zaszyfrowania innych plików, będzie mógł go wykorzystać.
Korzystanie z ACL S3
Mimo że zazwyczaj ACL dla kubełków są wyłączone, atakujący z wystarczającymi uprawnieniami mógłby je nadużyć (jeśli są włączone lub jeśli atakujący może je włączyć), aby zachować dostęp do kubełka S3.
Last updated