记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

匿名枚举Azure文件资源

近年来,我们看到Microsoft Azure服务在云服务市场中占据了更大的市场份额。虽然并没有看到AWS的应用,但我们遇到了更多使用Microsoft Azure服务进行运维的客户端。如果一切都正确的配置,这将是极好的事情,但是完全安全的环境是非常罕见的(这就是我们进行安全测试的原因)。鉴于Azure使用量的增加,我们希望能够深入了解如何将标准的Azure测试任务自动化,包括公开的可用文件的枚举。在本博文中,我们将介绍不同类型的Azure文件存储以及我们该如何枚举和访问公开可用的“Blob”文件。存储帐户我们在Azure环境中发现一个用户可以通过存储帐户公开的暴露文件。这些问题非常类似于公共S3存储桶的问题(这里有一
发布时间:2018-11-13 12:20 | 阅读:57613 | 评论:0 | 标签:Web安全 Azure

问题足够严重可以停止云服务 微软发布云安全问题归责

微软近期发布了Azure安全指南,明晰问题归责细节。共有两份文档阐述了问题的解决方法。其一为《云计算共有责任》,解释微软的安全责任分类方式。基本原则是:1. 内部IT的所有问题都是客户的责任2. 将Azure作为基础设施即服务(IaaS)使用时:建筑、服务器、网络硬件和管理程序是微软的责任操作系统、网络配置、应用程序、ID、客户端和数据是客户的责任3. 作为平台即服务(PaaS)使用时:网络控制是微软的责任操作系统、应用程序、ID、客户端和数据还是客户的责任4. 使用软件即服务(SaaS)时,全都是微软的责任,但数据分类、终端安全和用户管理还是你的责任另一份文档是新的白皮书,题为《微软Azure云端安全响应》,阐述了该公司在Azure出现问题时会怎样响应。白皮书显示,微软采用以下5个步骤维护Azure边界安全:
发布时间:2016-04-27 21:20 | 阅读:76589 | 评论:0 | 标签:行业动态 Azure 云安全 微软

绿盟科技网络攻防赛NSCTF WriteUp

NSCTF西北高校网络安全攻防大赛第一阶段线上赛落下帷幕,Azure以9350的高分暂居第一。大赛共吸引了1136名选手参加比赛,包括0ops成员、Insight-Labs成员、网络尖刀团队成员、cubesec团队成员等,还有各大学信息安全团队HDUISA、DUTSEC等成员。本文对线上赛进行总结,并开放所有赛题答案下载。 赛程介绍 大赛分为两个部分,第一阶段资格赛采用线上答题模式,筛选TOP 20进入第二阶段线下决赛。截止第一阶段线上赛结束时止,各战队排名情况如下(详见大赛主页http://www.nsctf.net/ ) 赛题答案 线上赛总共24道题,包括Web题12道,逆向题6道,加解密题3道,综合题3道。解出最多的为Web#100 Careful,有284人解出,解出最少的为逆向Reverse#3
发布时间:2015-09-29 18:55 | 阅读:285079 | 评论:0 | 标签:CTF 0ops Azure cubesec DUTSEC ExploitMe HDUISA insight-labs

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云