Bucket 公开访问

通过控制台执行

利用应用程序提权

在存储对象中植入后门

关闭安全监控服务

用户账号数据泄露

窃取云凭证横向移动

特定的访问配置策略

利用云厂商命令行工具执行

Bucket 策略可写

写入用户数据

在监控区域外攻击

对象存储敏感数据泄露

窃取用户账号攻击其他应用

元数据服务未授权访问

使用云API执行

Object ACL 可写

在云函数中添加后门

停止日志记录

目标源代码信息

通过控制台横向移动

云控制台非法登录

写入用户数据执行

Bucket ACL 可写

在自定义镜像库中导入后门镜像

日志清理

共享快照

使用实例账号爆破

账号劫持

使用对象存储工具执行

通过访问管理提权

创建访问密钥

通过代理访问

元数据

使用用户账号攻击其他应用

恶意的镜像

利用后门文件执行

创建高权限角色

在 RAM 中创建辅助账号

云服务访问密钥

PostgreSQL 数据库 SSRF

网络钓鱼

利用应用程序执行

利用服务自身漏洞进行提权

利用远控软件

用户数据

应用程序漏洞

利用 SSH、RDP 服务登录到实例执行命令

低权限下收集到数据库里的高权限访问凭证信息

控制台修改或添加数据库账户密码

获取配置文件中的应用凭证

服务弱口令

利用远程命令执行漏洞执行

在 RAM 中将低权限用户分配高权限策略

命令行修改或添加数据库账户密码

获取实例网段信息

密码访问

利用 SDK 执行

共享快照

数据库连接历史记录

密钥访问

数据库连接工具

数据库其他用户账号密码

数据库中的敏感信息

警告通知邮箱

性能详情

MSSQL 读取实例文件

流日志

安全组配置信息

RAM 用户角色权限信息