DEV Community
·
揭开隐秘:从使用Shodan进行简单侦查到泄露AWS秘密的旅程
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
孟加拉国的Omar Sha Rafi通过Shodan发现多个音乐流媒体平台的漏洞。他利用Naabu进行端口扫描,暴力破解目录以获取管理员邮箱和内部应用信息,最终解编译APK,发现硬编码的AWS凭证,从而获得未授权的S3访问权限。
🎯
关键要点
- 孟加拉国的Omar Sha Rafi通过Shodan发现多个音乐流媒体平台的漏洞。
- 利用Naabu进行端口扫描,识别开放端口以进行进一步调查。
- 通过暴力破解目录发现管理员邮箱泄露和内部应用信息。
- 下载并解编译APK,发现硬编码的AWS凭证,获得未授权的S3访问权限。
- 使用AWS CLI访问S3桶。
- 漏洞的根本原因分析。
- 针对AWS凭证的保护措施建议。
❓
延伸问答
Omar Sha Rafi是如何发现音乐流媒体平台的漏洞的?
他通过Shodan发现了多个漏洞,并利用Naabu进行端口扫描以识别开放端口。
Naabu在漏洞侦查中起到了什么作用?
Naabu用于进行端口扫描,帮助识别开放端口以便进行进一步调查。
Omar是如何获取管理员邮箱和内部应用信息的?
他通过暴力破解目录发现了管理员邮箱泄露和内部应用信息。
他是如何发现硬编码的AWS凭证的?
他下载并解编译APK,发现了硬编码的AWS凭证。
获得未授权的S3访问权限后,他是如何操作的?
他使用AWS CLI访问了S3桶。
针对AWS凭证的保护措施有哪些建议?
文章提到了一些保护措施,但具体内容未详细列出。
➡️
