我有一个用Java编写的Lambda,它执行XSL转换
我们尝试了暴露等/passwd 文件的 XXE 攻击
这是一个我相信AWS会处理这些事情的问题吗?不过不知道。
或者我们应该在 Lambda 代码中专门处理这种安全性?
在本白皮书中 https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf
"1.chroot – 提供对底层文件系统的作用域访问。 2. "操作系统和网络"由 AWS 负责">
AWS 负责修补和维护操作系统和运行时。但是,如果您故意引入 XXE 漏洞,则您有责任保护。
虽然在lambda函数上公开/etc/passwd(您是低特权沙盒用户(并不是非常关键,但还有其他问题可能会发挥作用。
例如,如果他们可以运行漏洞来公开函数中的环境变量,则可以获取运行函数的 IAM 角色的 AWS API 密钥,并从那里访问函数可以访问的任何内容。
它还可能能够从/tmp和/var/task目录中读取和提取数据,这些目录分别保存临时文件和代码/二进制文件。
XXE 漏洞不在 AWS 的职权范围内,这是您的应用程序代码引入的漏洞 - 您应该修复它。