发布于周五 15:464天前 ## 漏洞介绍 AK/SK(Access Key ID/Secret Access Key)是访问密钥,由两部分组成:访问密钥ID(AK)和秘密访问密钥(SK)。公有云使用AK来识别用户身份,并使用SK对请求数据进行签名验证,保证请求的机密性、完整性以及请求者身份的正确性。简单来说,云AK/SK用于生成用户与云平台API通信的访问凭证。 SK必须保密,不能通过任何方式泄露,否则会出现安全问题。 ## 密钥泄露的常见场景 漏洞挖掘过程中常见的泄露场景有以下几种: 1、错误页面或调试信息调试。 2. GITHUB关键字、FOFA等3. 网站配置文件4. JS文件泄露5. 源代码泄露。 APK和小程序反编译后全局搜索查询。 6、上传下载文件时也可能出现泄露,比如上传图片、上传文档等。 7.堆转储文件。 ## 案例分享 ### 案例一:APP泄露AK/SK 工具:(jdax-gui)https://github.com/skylot/jadx jdax-gui查看源码,全局搜索key关键字,找到baidu\\_key链接。 浏览器访问baidu\\_key地址,获取AK/SK 行云管家接管百度云。 ### **情况2:转储内存泄漏AK/SK** 工具:heapdump\\_tool、云资产管理工具(后台回复0003获取工具),下载heapdump内存文件。 使用heapdump分析工具读取AK/SK。 使用云资产管理工具接管阿里云服务器并执行系统命令。 ## 参考文章 https://forum.butian.net/share/2376 https://fuwu.weixin.qq.com/blogdetail?action=get\\_post\\_infolang=zh\\_CNdocid=00086415470e98a3972e9d90856c01 转载自freebuf: [https://www.freebuf.com/articles/web/390227.html](https://www.freebuf.com/articles/web/390227.html) 作者:轩智安全实验室
创建帐户或登录后发表意见