И снова про ключи в исходниках
После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.
Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe 😃
Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!
И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть 😄
#AWS #Keys
После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.
Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe 😃
Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!
И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть 😄
#AWS #Keys
Telegram
Mobile AppSec World
Firebase Cloud Messaging - как отправить push миллиарду пользователей
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных…
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных…