在我的第一篇有关基岩代理代码解释器的文章中,我证明可以将自定义代码解释器强制以通过非主张身份执行AWS控制平面操作。这提出了一条新颖的途径升级,任何具有自定义代码口译员访问的用户都可以有效地使用分配给这些代码解释者的任何特权。 […]
The One Cloud Threat Everyone Is Missing
让安全专家说出他们组织的云环境面临的最大威胁,大多数人会毫不犹豫地用一个词来回答:配置错误。从技术上讲,他们并没有错,但他们对“配置错误”的定义太过狭隘。他们可能想到的是暴露在外的 Amazon S3 存储桶或配置错误的安全组规则。虽然识别和修复配置错误必须是优先事项,但重要的是要明白,配置错误只是攻击者达到最终目的的一种手段:控制平面入侵,这在迄今为止的每一次重大云入侵中都发挥了核心作用。
