云环境下密钥泄露导致的安全问题 _云环境

前言如今越来越多的中小型公司选择使用云平台，诸如:阿里云、腾讯云、Amazon、Azure 。使用云平台大大降低了企业的资源成本，另一方面随着公用云的普及，也存在着一些风险，当然不是由于云平台本身的安全性欠缺，而是由于使用者在调用API时没有注意安全性而导致的。最常见的问题就是AccessKey泄漏、配置不当。
正文AccessKey（即访问密钥）是云平台用户在通过API访问云资源时用来确认用户身份的凭证，以确保访问者具有相关权限。AccessKey由云平台提供商（如亚马逊AWS、阿里云等）颁发给云主机的所有者，一般由AccessKeyID（访问密钥ID）和Secret Access Key（私有访问密钥）构成。
主账户/根用户的AccessKey具有主账户的完全权限，因此云厂商不建议直接使用主账户/根用户的AccessKey进行API调用，阿里云会建议你使用RAM子账户进行API的调用，当然这个账户是有相应权限限制的，而腾讯云cos服务除了可以生成子账户外还采用了一个CAM模型，用于生成 COS 的临时密钥。临时密钥有生效时间，作用与阿里oss的RAM子账号类似。
通过临时密钥方式，则可以方便、有效地解决权限控制问题。因为固定密钥计算签名方式不能有效地控制权限，同时把永久密钥放到客户端代码中有极大的泄露风险。从阿里oss AccessKey泄露问题便可看出，下面会讲到这个问题。
OSS AccessKey泄露对象存储（Object Storage Service，简称OSS），是阿里云对外提供的海量、安全和高可靠的云存储服务。
通过上面描述我们知道AccessKey如果泄露就会导致用户账户被控制，常见的泄露方式有以下几种：

APK反编译后的配置文件。
GITHUB关键字、JS文件、FOFA等。
低权限的WEBSHELL查看网站的配置文件

拿到AccessKey后的利用方式

第三方平台，如：行云管家
OSS Browser
OSSUTIL
API Explorer

OSS Browser、OSSUTIL是官方阿里云官方提供的工具只能对于OSS进行操作，API调试或者第三方平台可以直接操作ECS，甚至重置服务器。
这里演示一下OSS Browser（https://github.com/aliyun/oss-browser/blob/master/all-releases.md）对OSS的操作

文章插图

阿里云 access key ID 和 access key secret 是访问阿里云API的唯一凭证。Access key ID 是类似身份的标识，而 access key secret 的作用是签名你的访问参数，以防被篡改。Access key secret 类似你的登录密码。
登陆后便可访问文件服务，并对文件进行操作

文章插图

通过行云管家这样的第三方平台，我们可以进一步进行操作。同样的我们需要access key ID 和 access key secret。

文章插图

文章插图

通过行云管家，不仅可以访问OSS服务，还可以直接重置服务器密码，接管服务器。

文章插图

参考案例(http://r3start.net/index.php/2019/09/16/580）

COS服务临时密钥泄露对象存储（Cloud Object Storage，COS）是腾讯云提供的一种存储海量文件的分布式存储服务，用户可通过网络随时存储和查看数据。跟阿里云一样腾讯云的主机也有主账户和子账户之分，子账号是由主账号创建的实体，有确定的身份 ID 和身份凭证，拥有登录腾讯云控制台的权限。子账号默认不拥有资源，必须由所属主账号进行授权。与阿里云不同的是，腾讯云引入了临时密钥。
临时密钥（临时访问凭证）是通过 CAM 云 API 提供的接口，获取到权限受限的密钥。主要是为了解决固定密钥计算签名方式不能有效地控制权限，同时把永久密钥放到客户端代码中有极大的泄露风险的问题。
腾讯云获取临时密钥的过程如下：