- AWS S3는 클라우드 기반 파일 저장 서비스로, '버킷'이라는 컨테이너에 파일을 저장합니다. ☁️
- S3 버킷은 설정에 따라 비공개 또는 공개될 수 있으며, 실수로 공개된 버킷은 민감한 파일에 대한 무단 접근을 허용하는 보안 취약점이 됩니다. 🔓
- 이 영상은 TryHackMe의 "A Bucket of Phish" 챌린지로, S3 버킷에 호스팅된 피싱 웹사이트를 해킹하여 피해자 목록을 탈취하는 과정을 다룹니다. 🎣
- 피싱 웹사이트의 URL을 분석하여 해당 사이트가 AWS S3 버킷에 호스팅되어 있음을 식별했습니다. 🔍
- AWS CLI 도구를 사용하여 S3 버킷과 상호작용하며,
aws s3 ls명령에--no-sign-request옵션을 추가하여 인증 없이 공개 버킷의 내용을 나열할 수 있었습니다. 💻 - 버킷 내에서
captured_login이라는 파일을 발견했으며, 이 파일은 피싱으로 탈취된 사용자 자격 증명 목록을 포함하고 있었습니다. 📜 aws s3 cp명령과--no-sign-request옵션을 사용하여captured_login파일을 로컬 시스템으로 다운로드하여 피해자 목록(플래그)을 성공적으로 확보했습니다. 💾- 이 사례는 클라우드 환경, 특히 AWS S3에서 잘못된 구성이 얼마나 심각한 보안 위협이 될 수 있는지 보여줍니다. ⚠️
Recommanded Videos
How a Tiny Bug Crashed AWS | DynamoDB us-east-1 Outage Explained
2025. 11. 4.
Reviewing YOUR Open Source Projects LIVE
2025. 12. 12.
AI Navigation 2.0 - NavMesh links and obstacles
2024. 12. 12.
System Design Interview – BIGGEST Mistakes to Avoid
2025. 7. 24.
Stylized Animation Control Rig Characters in Unreal Engine 5
2025. 12. 19.
Modeling, texturing, animating and importing to Unity with MagikaVoxel | The Joy of Video Game Art
2025. 8. 14.