首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

公有云攻防系列——云服务利用篇

案例研究 3.1 案例1——Google Cloud云服务漏洞 Google Cloud SQL是一个全代管式的关系型数据库服务,用户无需自行管理,即可部署一个SQL Server、PostgreSQL...这些Cloud SQL数据库可以通过特定的命令行工具或应用程序进行访问。云厂商为了保证公有云环境多租户的隔离安全,会对用户权限和应用程序权限进行限制,以防止出现不受控制的隔离风险。...但权限控制并非一项简单的工作,一些研究员已经Google Cloud的MySQL、PostgreSQL和Google Guest Agent中发现了相关漏洞,可以用来进行命令执行和容器逃逸,从而威胁其他租户的云环境...研究员Google Cloud控制台界面管理MySQL实例时发现了从存储桶导入和导出数据库的功能,该功能支持一个自定义的SQL查询,如图1所示: 图1 MySQL导出数据库功能界面[2] 经过测试,...观察文档发现,该角色允许改变表的所有权给数据库的任何用户和角色,本意是将一些高权限的能力授予给低权限的用户,但却给了攻击者可乘之机。

2.5K40
您找到你想要的搜索结果了吗?
是的
没有找到

Google Workspace全域委派功能的关键安全问题剖析

写在前面的话 近期,Unit 42的研究人员Google Workspace的全域委派功能中发现了一个关键安全问题,攻击者将能够利用该安全问题从Google Cloud Platform(GCP)获取...通过适当的范围利用API访问权限,内部人员可以访问和检索Google Workspace的敏感数据,从而可能会泄露存储Google Workspace的电子邮件、文档和其他敏感信息。...其中,服务帐号密钥日志将显示GCP日志,而Google密钥生成和API调用执行日志将显示Google Workspace日志。...查询: 等价的Prisma Cloud RQL语句: 下图中,我们尝试检测是谁以及何时给目标服务账号授予了全域委派权限: 等价的Prisma Cloud RQL语句: 下图显示的是Cortex Web接口中触发的...设置更高级别的权限和策略并不会自动给低级别文件夹或项目授予访问权限

12110

Sentry到Ranger—简明指南

例如,如果用户对数据库范围拥有 ALL 权限,则该用户对包含在该范围内的所有基础对象(如表和列)拥有 ALL 权限。因此,授予数据库用户的一项授权将授予对数据库中所有对象的访问权限。... Ranger ,应存在具有必要权限的显式 Hadoop SQL 策略,以便用户访问对象。这意味着,Ranger 提供了更细粒度的访问控制。在数据库级别拥有访问权限不会在表级别授予相同的访问权限。...例如,使用 Ranger Hadoop SQL 策略,要向用户授予所有表和列的访问权限,请使用通配符创建策略,例如 – 数据库 → 、表 → * 和列 → *。...CDP Private Cloud Base 中支持基于 Ranger 授权的所有服务都有一个关联的 Ranger 插件。这些 Ranger 插件客户端缓存访问权限和标签。...请注意,RMS CDP Private Cloud Base 7.1.4 作为技术预览可用。

1.5K40

使用服务账号请求Google Play Developer API

创建新项目 创建新项目就方便了,系统会自动开启Google Play Android Developer API 已关联Google Cloud项目中创建服务账号 要访问Google Play...服务帐户的详细信息,键入一个名称,ID和服务帐户的描述,然后单击创建并继续。 可选:授予此服务帐户访问到项目中,选择IAM角色授予服务帐户。(我理解应该是必选) 点击继续。...可选:授予用户访问该服务帐户,添加允许使用和管理服务帐户的用户或组。(我理解也是可选,我没选) 点击完成。 点击add创建键,然后单击创建。...创建帐号的过程,您需要向自己的服务帐号授予Google Cloud 项目的访问权限,这样它才能显示 Google Play 管理中心内。...如需使用 Google Play 结算服务 API,您必须授予以下权限: 查看财务数据、订单和用户取消订阅时对调查问卷的书面回复 管理订单和订阅 为服务账号创建密钥 密钥创建成功,会提示你保存到本地

2.5K30

快速扩散的Google Docs钓鱼攻击:一键接管你的Gmail邮箱

而真正的Google文档是不会请求Gmail账号的权限的。 这种攻击手段实际上与上周趋势科技的报告Pawn Storm黑客组织的手法很相似。...他们一直使用新的方法进行钓鱼攻击。报告,Pawn Storm所使用的钓鱼手法是弹出伪造成Google安全警告的提示,命名为”Google Defender”。...黑客获取权限后会将同样的Google文档钓鱼邮件以你的名义发送给你的所有联系人。而攻击的可怕之处也在于此,只有每一级的传播都是看似来自熟人的邮件,这使得鉴别钓鱼邮件的难度提升。...googledocs.gdocs.win 漏洞修复 截至目前,Google已采取行动打击了这次钓鱼攻击,所有与钓鱼攻击相关联的域名已经全部下线,whois记录也已经被清除,用户授予的访问权限也已经从账号上移除...大家仍可遵照以下步骤检查你的Google账号授予了哪些应用哪些权限: 1. 打开Google账号设置页面 2. 选择“登录与安全”项目下的“关联的应用和网站”检查关联到你帐号的应用

1.5K80

Adobe CDP里的Source

需要注意,从Adobe应用程序导入数据,需要先在Adobe Admin Console做授权管理,响应Adobe应用程序的数据才可以导入到Adobe CDP,有两个权限类型: View Sources权限授予对...Catalog选项卡可用源和Browse选项卡已验证源的只读访问权限 Manage Sources权限授予对读取、创建、编辑和禁用源的完全访问权限。...Google AdWords Cloud Storage(云存储) 云存储源是用于存储数据,可以直接导出数据,有可以从平台导入数据。...Cloud Storage Google PubSub Oracle Object Storage SFTP Customer Relationship Management (CRM,客户关系管理...Salesforce Service Cloud 连接器 ServiceNow 连接器 Database(数据库) Adobe CDP支持从第三方数据库获取数据,目前市面上主流的基本都支持: Amazon

1.9K10

ownCloud的双因素身份验证

本教程,我将向您介绍如何使用privacyIDEA保护自己的Cloud安装,您可以使用它来管理用户的第二个身份验证因素。...您可以运行用户位于LDAP目录的安装程序,但在本示例,我们仅使用现有的ownCloud SQL用户表。...请注意:如果您在不同的服务器上运行privacyIDEA和ownCloud,则需要授予SQL数据库的访问权限。...MySQL / MariaDB的情况下,您需要修改/etc/mysql/my.cnf的绑定地址 ,如下所示: bind-address = 0.0.0.0 此外,您需要根据MySQL添加访问权限:...我们Config→Users创建一个新的用户解析器 。 您可以点击ownCloud应该预设数据库属性映射中所有必需字段的按钮。 然后,您可以单击测试SQL解析器来查看,如果一切顺利。

1.7K00

Google Drive网盘挂载

更新记录 20210906 Google Drive网盘挂载 前言 ​ GoIndex是一款部署Cloudflare Workers的Google Drive目录索引程序,本篇介绍如何借助GoIndex...3.cloudflare worker进行部署 参考步骤 1.注册google、cloudflare账号 googleGoogle Driver(登录验证google权限,可获取一定免费额度) cloudflare...Driver的编号信息,输入编号即可) client_id:google cloud console创建应用生成client_id(也就是前面的步骤生成的客户端ID) client_secret:(...前面的步骤生成的客户端secret) scope:确认完成,随后可选择访问的权限(此处授予所有文件的访问权限(一般是1),如需控制则自行相应调整权限等级即可) root_folder_id:(直接回车跳过...,再次重新配置相关的client_id、client_secret随后可正常响应,选择对应的用户授予权限 如果用户授权出现Error 403: access_denied ​ 则说明该应用没有添加测试用户

4K20

hive sql(四)—— 所有用户今年10月份第一次购买商品的金额

需求 请用sql写出所有用户今年10月份第一次购买商品的金额,表order字段: (购买用户:userid, 金额:money, 购买时间:paymenttime(格式:2017-10-01), 订单...date_format只能支持日期格式,比如2021-03-30 2、date_format(current_date(),"yyyy-10")是用yyyy取出年份,10是给的默认值,其他玩法见扩展部分 3、所有用户...也就是说用户可能在同一天购买多次,如果是这样,则要求购买时间是时间类型,精确到秒 5、这里的数据的唯一性是通过时间约束的,所以不用去重 6、这里是一个正确的写法,先过滤数据,减少数据集——预处理、预聚合的会让数据处理的阶段更清晰,一个子查询实现多种和阶段处理

92920

SQL命令 GRANT(二)

SELECT、INSERT、UPDATE和REFERENCES权限可用于授予对单个列数据的访问权限。...如果用户将新记录插入到表,则只会将数据插入到已授予权限的那些字段所有其他数据列都设置为定义的列默认值,如果没有定义的默认值,则设置为NULL。...要从特权删除WITH ADMIN OPTION权限,必须撤销该特权,然后不使用此条款的情况下重新授予该特权。...导出权限 可以使用$SYSTEM.SQL.Schema.ExportDDL()方法导出特权。 在此方法中指定表时, IRIS将导出为该表授予所有表级特权和所有列级特权。...您可以不指定用户的情况下创建表。 本例,管理门户将“_SYSTEM”分配为user,嵌入式SQL将“”(空字符串)分配为user。

1.4K40

云存储攻防之Bucket ACL缺陷

基本概念 访问控制列表(ACL)使用XML语言描述,它是与资源关联的一个指定被授权者和授予权限的列表,每个存储桶和对象都有与之关联的ACL,支持向匿名用户或其他腾讯云的主账号授予基本的读写权限,需要注意的是使用与资源关联的...不支持显示拒绝的权限,一个资源最多可以拥有100条ACL策略 仅可对腾讯云访问管理(Cloud Access Management,CAM)主账号或预设用户组授予权限,无法授予自定义用户组权限,不推荐授予子用户权限...控制台快速设置访问权限 需要将某个对象、目录或存储桶开放给所有互联网匿名用户访问,ACL操作更为便捷 元素介绍 身份Grantee 支持的被授权身份可以是某个CAM主账号或者是某个预设的CAM用户组...权限,一旦授权许可后,用户组可以对您的资源进行上传、下载、删除等行为,这将会给您带来数据丢失、扣费等风险 存储桶或对象的ACL中支持授予的身份包括: 跨账号:请使用主账号的ID,通过账号中心的账号信息获得账号...以上所有行为的集合 备注:请谨慎授予存储桶WRITE、WRITE_ACP或FULL_CONTROL权限授予存储桶WRITE权限将允许被授权者覆盖或删除已有的任何对象 B、下表列出了支持在对象 ACL

36420

SQL命令 GRANT(一)

如果角色名是分隔的标识符,则在分配时必须将其括引号。...可以使用SCHEMA SCHEMA -name作为对象列表值,将对象特权授予当前命名空间中命名模式所有表、视图和存储过程。...例如,GRANT SELECT ON SCHEMA Sample TO Deborah为该用户授予Sample模式中所有对象的SELECT权限。 这包括将来将在该模式定义的所有对象。...但是,可以向一个模式授予特权,该模式将特权授予该模式中所有现有的对象,以及授予特权时该模式不存在的所有未来对象。 如果表的所有者是_PUBLIC,则用户访问表不需要被授予对象权限。...对象所有权限 表、视图或过程的所有者始终隐式拥有SQL对象的所有SQL特权。该对象的所有该对象映射到的所有名称空间中拥有该对象的特权。

1.7K40

python数据库-MongoDB的安装(53)

六,基于角色的访问控制(Role-Based Access Control) 角色是授予User指定资源上执行指定操作的权限,MongoDB官方手册对角色的定义是: A role grants privileges...MongoDB为了方便管理员管理权限DB级别上预先定义了内置角色;如果用户需要对权限进行更为细致的管理,MongoDB允许用户创建自定义的角色,能够集合级别上控制User能够执行的操作。...MongoDB拥有一个SuperUser的角色:root,拥有最大权限,能够系统的所有资源上执行任意操作。...Roles): backup restore 跨库角色(All-Database Roles): readAnyDatabase:授予所有数据库上读取数据的权限 readWriteAnyDatabase...:授予所有数据库上读写数据的权限 userAdminAnyDatabase:授予所有数据库上管理User的权限 dbAdminAnyDatabase:授予管理所有数据库的权限 集群管理角色(Cluster

78120

CDP的Hive3系列之保护Hive3

基于存储的授权 (SBA) 不适用于授予用户访问 ACID 表的权限。 预装Ranger政策 Ranger ,默认情况下可以使用预加载的 Hive 策略。...细粒度授权(列级、行级) 使用 GRANT/REVOKE 语句进行权限管理 集中管理图形用户界面 Apache Ranger 安全的 是的 是的 是的 基于存储 安全的 HiveServer SQL...777 ,设置 umask 以限制子目录,并提供默认 ACL 以授予 Hive 对所有子目录的读写访问权限。...使用 Ranger 授权模型 如果禁用 SBA 并仅使用 Ranger 授予不在 sales 组的特定用户 sales-report 数据库创建外部表的权限,则该用户可以登录并创建数据库。...确定您环境的表和数据库所需的权限。 3. Hive 创建表或数据库,然后使用 HDFS 文件系统命令手动修改 POSIX 权限

2.2K30
领券