云安全

本文将描绘当攻击者拥有用户Joe和Bob的访问密钥,但EC2实例停止服务的情形。如果你是第一次阅读本系列文章,你不知道什么是CloudGoat以及Joe和Bob到底是谁,那么我建议你先阅读本系列的第一部分。
近日,阿里云安全团队发布了《2018年云上挖矿分析报告》。该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议。
前面的文章中,我研究了事件注入和权限绕过攻击。在本系列的第三篇文章中,我将讨论最令公司们担心的漏洞之一。
在第一篇文章中,我分享了一个AWS提权实例:从一个仅有EC2权限的账户提权至管理员权限。今天,我将继续本系列,向大家展示如何绕过监控系统和如何实现持久访问。
本文是“Playing with CloudGoat” 系列文章的第一篇,这个系列文章将介绍基于AWS服务错误配置进行攻击的方法。今天我将主要介绍CloudGoat平台和攻击EC2服务的方法,下一篇文章将介绍其他服务的漏洞。
感谢您阅读此系列的第二篇文章。上一篇文章我们讨论了注入攻击。在视频中,可以看到使用它攻击传统应用程序到Serverless应用攻击面的变化。对于Serverless应用来说,注入攻击是基于不同源的各种事件。
即将发布的Serverless Top 10报告将研究运用历年OWASP Top 10中的技术攻击运行在Serverless状态中的应用,解释并举例针对Serverless应用时的攻击向量,防御技术和业务影响与传统应用之间差异。
CCSK认证课程的目的是确保与云计算相关的从业人员对云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知。
本文介绍了我们识别Shopify平台上的子域名接管漏洞的具体过程,该漏洞影响超过55,000个子域名。
在本文中我们介绍了另一种可选方案,采用ASW Lambda无服务器计算(serverless computing)来实现红队基础设施的部署。