Можливо надати публічний доступ до бази даних з Інтернету. Атакуючому все ще потрібно знати ім'я користувача та пароль, доступ IAM або експлойт для входу в базу даних.
Публічні знімки RDS
AWS дозволяє надавати доступ будь-кому для завантаження знімків RDS. Ви можете дуже легко перелічити ці публічні знімки RDS зі свого власного облікового запису:
# Public RDS snapshotsawsrdsdescribe-db-snapshots--include-public## Search by account IDaws rds describe-db-snapshots --include-public --query 'DBSnapshots[?contains(DBSnapshotIdentifier, `284546856933:`) == `true`]'
## To share a RDS snapshot with everybody the RDS DB cannot be encrypted (so the snapshot won't be encryted)## To share a RDS encrypted snapshot you need to share the KMS key also with the account# From the own account you can check if there is any public snapshot with:awsrdsdescribe-db-snapshots--snapshot-typepublic [--region us-west-2]## Even if in the console appear as there are public snapshot it might be public## snapshots from other accounts used by the current account
