阿里云
发表主题 回复主题
  • 717阅读
  • 6回复

[云安全技术和产品专区 ]控制台安全组存在疏漏,请重视

级别: 新人
发帖
3
云币
4
发帖的原因只是我想看看大家的意见,是不是我太笨了。 Mns=X)/hc  
也不知道投到这个版块合不合适,如果不合适的话,请管理鸳同志直接移动栏目,或者删帖。 N'5DB[:c:  
以下是发到【阿里·聆听】里面的文章,过了两天竟然没一个人看,都是我己翻的。 b?9'-hK<  
原文如下: u7p:6W  
3U?^49bJ  
ri9n.-xs  
Z\?!& &  
[问题描述]: FQJFq6l  
我在另外一个账号上新购了一台阿里云的ecscentos7.4,因为要安装宝塔的面板工具(本人技术水平有限,想简单快速安装nginx-tengine,我也不会手动改各种配置和配置ssl这样的操作)。 ;ov}%t>UD  
所以我就需要放行端口,所以我就要修改安全规则。默认要把8888打开,8888/8888,授权0.0.0.0/0。这个我经常搞,可以熟练操作。 _B]Bd@<w  
但是在我新建规则的时候遇到了验证码(这个保护虽然让我很不方便,但是很安全),我另外的那个手机号实在是不方便接收 ,.gI'YPQC  
于是,我想到了一个办法,把我这个账户上的安全组规则进行导出,然后去另外一个号上去导入。真的是没想到,竟然成了。导出的是json格式的。 H/G;hk  
我格式化了一下,请查看附件的图片吧,用的arial字体,你们可以orc识别一下,就是正常的配置。(粘贴在这里影响篇幅,ps简单做了一张图) yg4ILL  
这个我认为存在隐患吧,但是说不清楚。但是用户的这个操作,应该要想到的。 +A_jm!tJS(  
*EtC4sP  
    对了,我的环境是 aUBu"P$J  
    Chrome 67.0.3396.99 (正式版本) (32 位) *41WZE  
    Windows 10 专业版 版本1803 (OS 内部版本 17134.228) RQn3y-N]  
    是在Chrome下导出的,在Chrome隐身模式下登陆的另外一个账号进行导入的。 wi:d!,P`e  
-1!s8G  
    [建议方案]: _..5G7%#%  
    建议重视,我和公司一直都是用的阿里云服务,曾在工单中回复“买的不是服务器,是服务”!希望越做越好! k .F(*kh  
     %A( hmC  
     dnX^?  
     IG@@CH  
    ##############第一次修改############## Qc:Sf46O  
    #######更换了附件,忘了给自己端口打码了###### "\1V^2kMr  
    ###########提交2018-08-22-05-17###########
级别: 程序猿
发帖
318
云币
489
只看该作者 沙发  发表于: 08-23
 
 这样相当于绕过了,手机验证。
{L#Pdj{  
]1X];x&e  
但我有个疑问哈,一般添加安全规则的时候只在第一次验证,之后一段时间的敏感操作就不用验证的。
905 /4z'  
楼主是不是导入之前的一段时间刚验证过短信验证码?
1g *4e  
F*QGzbv)  
i),W1<A1  
[ 此帖被服务器云在2018-09-19 10:37重新编辑 ]
级别: 新人
发帖
3
云币
4
只看该作者 板凳  发表于: 08-24
回 1楼服务器云的帖子
没有,从没验证过。我意思就是,如果设置验证码是为了保护安全组的配置不被修改,那么安全组的导入规则也是非覆盖式导入,也就是说,直接添加呗。那这个验证码的功能就形同虚设了。不能拦截敏感操作。
级别: 新人
发帖
3
云币
4
只看该作者 地板  发表于: 08-24
回 1楼服务器云的帖子
你可以测试一下,比方说A和B两个账号,需要给B添加规则,A号正常登陆,B号用浏览器隐身模式或者换个浏览器,我是用的隐身模式。然后你在B号上点添加规则,他就会提示你需要发送验证码,收到以后输入正确才能继续操作。这时候点关闭(就是结束此次添加规则的操作),去A号上把A号上的安全组规则导出出来,然后切换到B号,直接点导入,就成了。既然可以导入成功,那么懂点json的都能自己写规则了,或者复制下来,修改就行了,看懂参数太简单了。所以,绕过验证格外简单。是个缺陷。不知道设计的时候是怎么考虑的,也许别有用意吧。
级别: 程序猿
发帖
318
云币
489
只看该作者 4楼 发表于: 08-24
回 3楼(时间爱人) 的帖子
a"}#HvB+  
p/h&_^EXU  
测试过,在新建规则要单独验证的情况下,导入规则不需要任何验证就可以导入。 iC-ABOOu{l  
rLxX^[Fp3  
楼主是对的,导入规则确实是绕过了验证。 >U?Bka!  
U[l%oLra  
级别: 程序猿
发帖
436
云币
1693
只看该作者 5楼 发表于: 08-24
这都被发现了,厉害
级别: 论坛版主
发帖
3606
云币
2539
只看该作者 6楼 发表于: 09-01
账号之间隔离,安全组其实导出导入没有什么影响,验证码部分我估计是有什么判断方式比如浏览器header等方式会那么一种会话保持方式。
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个