每周云安全资讯-2022年第45周

1

微软确认配置错误导致数据泄露

微软证实，“错误配置的端点”是微软客户数据暴露和泄露的原因，但批评了 SOCRadar 对数据泄露的报告，称这家威胁情报供应商夸大了影响。

https://www.techtarget.com/searchsecurity/news/252526344/Microsoft-confirms-data-leak-caused-by-misconfiguration

2

公有云攻防系列：云凭证的泄露与利用

本文从近几年的一些云上数据泄露事件出发，梳理了发生数据泄露的常见原因，重点介绍了其中一个重要原因——云凭证的泄露与利用，最后站在防御的角度给出一些防止凭证泄露的方案。

https://mp.weixin.qq.com/s/V2hTqTnUbAsPDWLHljiQ4A

3

AWS控制台中的XSS漏洞

本文介绍了从AWS Elastic Beanstalk更改历史记录中的一条错误提示到AWS 控制台中的 XSS的发掘过程。

https://mp.weixin.qq.com/s/xdb793ADF4703Wll0bbH5g

4

作战图鉴：12大场景详述容器安全建设要求

本文通过不同应用阶段企业在实战中总结的最佳作战图鉴及解决方案，来发现不同阶段的容器安全要求。

https://mp.weixin.qq.com/s/41kXG9gpHfYWvwilB9oQ1A

5

攻击者试图窃取AWS EC2的访问密钥和令牌

趋势科技的研究人员最近发现了一个恶意程序，试图通过拼写错误和滥用合法工具窃取Amazon Elastic Compute Cloud（EC2）Workload的访问密钥和令牌。

https://mp.weixin.qq.com/s/T7g51hCFtmIewd5kr-KJNA

6

AWS 枚举: 从哪里开始、方法和工具

本文介绍了在AWS环境中枚举资源的多种方法，例如如何执行枚举，应该寻找什么，以及自动和手动执行枚举的多种方法。

https://securitycafe.ro/2022/11/01/aws-enumeration-part-1/

7

企业准备进行云迁移时需要问的4个重要问题

企业对云计算的依赖只会继续增长，许多企业选择做出这种改变。本文将为企业提供业务迁移到云平台之后可以实现的目标提供路线图。

https://mp.weixin.qq.com/s/hp4RsRFryNCKojbqsSccHQ

8

云黑客及其方法的深入探索

随着云计算越来越流行，云成为黑客的目标也就不足为奇了，随着云计算的广泛采用，网络黑客的威胁也迅速增加。 

https://www.cysecurity.news/2022/10/an-in-depth-exploration-of-cloud.html

9

CloudFox：一款针对云环境渗透测试的自动化安全态势感知工具

CloudFox是一款针对云环境渗透测试的自动化安全态势感知工具，该工具可以帮助广大研究人员以自动化的形式在自己并不熟悉的云环境中获得环境安全态势感知。

https://mp.weixin.qq.com/s/PAyzF0C1Hdw_CwarExd0Lw

10

AzureGoat：Azure基础设施靶场

本文介绍了在AWS环境中枚举资源的多种方法。本文将解释如何执行枚举，应该寻找什么，以及自动和手动执行枚举的多种方法。

https://github.com/ine-labs/AzureGoat

11

AWS 中信任策略风险

信任策略是附加到 AWS 环境中每个角色的文档。本文介绍了信任策略的功能、错误使用案例以及最佳实践。

https://blog.nviso.eu/2022/10/25/the-dangers-of-trust-policies-in-aws/

12

2022 年 防火墙即服务 (FWaaS) 5 大趋势

防火墙即服务 (FWaaS) 是一种通过云向企业或小型企业提供防火墙功能的方式。在那些不想陷入维护企业安全所需的无尽职责的人中，防火墙即服务正在成为一种流行的选择。

https://www.datamation.com/security/firewall-as-a-service-trends/

点击阅读原文或访问

https://cloudsec.tencent.com/info/list.html

查看历史云安全资讯