挖掘AK/SK泄露漏洞

前言

 项目中各厂商越来越趋势于使用云存储，云管理。 

漏洞介绍

AK/SK（Access Key ID/Secret Access Key）即访问密钥，包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，公有云通过AK识别用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。简单来说，云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的，不能通过任何途径泄露，否则就会产生安全问题。

如何检测

1. 使用Trufflehog插件发现AK/SK

访问一个网站，若存在AK/SK，trufflehog就会弹窗提示，我本次没有弹窗，在trufflehog插件的findings查看。

 

下载js，优化格式查看，ak、sk、Bucket均有

 

 

腾讯oss网页版登陆测试，成功访问

 

 

登录进去可以看到里面的存储文件

 

 

若网站采用异步加载，该方法也是有效的。

 

2. 利用Trufflehog扫描

 

1. 首先将整个网页下载本地，放入一个文件夹中

 

 

2.使用trufflehog常规扫描：

?

1	./trufflehog filesystem --directory=./sit

　　

 

 

3.通过所在的js文件，搜索泄露的AK/SK找到具体位置

 

 

4.使用OSS浏览器配置AK/SK信息，选择区域

 

 

5.然后就可以浏览所有的文件了

 

 

ps：若网站采用异步加载，该方法无效。

 

3. 利用Packer  Fuzzer 扫描

?

1 2 3

packer fuzzer直接扫描   python3 PackerFuzzer.py -u url -l zh -t adv

　　

没有扫描出来     ps：若网站采用异步加载，该方法无效。

代理到burp保存后扫描

保存全部流量请求，注意不要勾选base64   手动可以查找出AK/SK的，也就是说保存的txt文件中是有的     测试一下工具能不能发现，linux和windows都没扫出来，shodankey是浏览器插件的免费key没啥用       若工具查找不到，可以使用正则：SecretId:".*?",   网站采用异步加载，该方法是可以查找的（正则匹配）

工具推荐

trufflehog：https://github.com/trufflesecurity/trufflehog

Packer-Fuzzer：https://github.com/rtcatc/Packer-Fuzzer

oss-browser：https://github.com/aliyun/oss-browser