https://www.elliot98.top/tags/%E4%BA%91%E5%AE%89%E5%85%A8/Recent content in 云安全 on Lutong's HomepageHugozh-cnTue, 09 Jul 2019 00:00:00 +0000https://www.elliot98.top/post/lab/ps2019-2/Tue, 09 Jul 2019 00:00:00 +0000https://www.elliot98.top/post/lab/ps2019-2/<h1 id="brief">Brief</h1> <ul> <li>author: Chaoshun Zuo, Zhiqiang Lin, Yinqian Zhang</li> <li>IEEE S&amp;P 2019</li> </ul> <h1 id="introduction">Introduction</h1> <ol> <li>系统评估移动终端使用云存储时候的数据泄露</li> <li>编写程序自动化完成评估</li> <li>对各种软件进行评估，给出风险报告</li> </ol> <h1 id="background">Background</h1> <blockquote> <p>为什么要使用 Cloud API？</p> </blockquote> <p>减少成本，无需自己搭建后端或租用服务器，无需考虑鲁棒性和伸缩性。</p> <blockquote> <p>Cloud API 的两种秘钥</p> </blockquote> <ol> <li>app key： 有限权限，用于访问公开数据并可以隔离资源，防止在用户app中。</li> <li>root key： 完整的访问权限，用于开发和管理</li> </ol> <h1 id="系统分析">系统分析</h1> <ol> <li>秘钥误用，将两种秘钥混用</li> <li>访问控制配置错误</li> </ol> <h1 id="自动化分析框架">自动化分析框架</h1> <p>方法：根据 API 的句柄、输入输出参数来判断。</p> <p>包括：Cloud API identification、String Value identification 和 Vulnerability Identification。</p> <h1 id="评估">评估</h1> <p>对大量程序进行了分析，分析结果略</p>