Amazon web services 在AWS Lambda中运行原始用户输入（代码）的安全风险？_Amazon Web Services_Aws Lambda - Fatal编程技术网

Amazon web services 在AWS Lambda中运行原始用户输入（代码）的安全风险？

amazon-web-services aws-lambda

Amazon web services 在AWS Lambda中运行原始用户输入（代码）的安全风险？,amazon-web-services,aws-lambda,Amazon Web Services,Aws Lambda,假设我们从表单字段获取用户输入。为了便于讨论，请讲一些python代码；像2*2这样简单的东西，将其存储为字符串，并从AWS Lambda执行python代码我们知道2*2是无害的代码，但是如果用户输入了恶意的东西呢允许用户输入在AWS Lambda中运行，最糟糕的情况是什么两个明显的风险是他们能否访问lambda之外的东西（例如AWS密钥/IAM）他们能做得比删除lambda本身上的文件系统更糟糕吗（这可能无关紧要，因为它是短暂的）可能会编写占用lambda资源的代码以类似蠕虫的

假设我们从表单字段获取用户输入。为了便于讨论，请讲一些python代码；像

2*2

这样简单的东西，将其存储为字符串，并从AWS Lambda执行python代码

我们知道

2*2

是无害的代码，但是如果用户输入了恶意的东西呢

允许用户输入在AWS Lambda中运行，最糟糕的情况是什么

两个明显的风险是

他们能否访问lambda之外的东西（例如AWS密钥/IAM）

他们能做得比删除lambda本身上的文件系统更糟糕吗（这可能无关紧要，因为它是短暂的）

可能会编写占用lambda资源的代码

以类似蠕虫的方式启动其他lambda

上述三种风险是否得到保证，或者存在哪些风险

我试图回答的基本问题是，在没有人工检查的情况下，接受用户（python）输入并在lambda中运行它是否相当安全

接受用户（python）输入并在lambda中运行它，而无需人工检查，这是否相当安全

不幸的是，它不是，它的安全风险。lambda代码通过其执行角色将具有与函数相同的权限。因此，无论lambda执行允许什么，您的用户都可以通过运行脚本来执行
即使您现在以基本权限或无权限执行该功能，随着时间的推移，您或其他人可能会错误地向其添加一些权限，并且您可能最终以管理员权限运行您的功能，您的帐户中的所有资源都对每项操作开放

[aws lambda]相关文章推荐

Aws lambda AWS Step功能-等待事件发生 aws-lambda

Aws lambda 在无服务器框架上模拟内部函数 aws-lambda

Aws lambda 在Cognito中切换身份-如何处理id和x27的合并；s aws-lambda

Aws lambda 使用一个Lambda函数处理多个意图 aws-lambda

Aws lambda AWS lambda代理集成的问题 aws-lambda yaml

Aws lambda AWS Lambda-解决100%CPU问题 aws-lambda

Aws lambda 将AWS标记编辑器与lambda集成 aws-lambda

Aws lambda CloudWatch Cron未链接？ aws-lambda amazon-cloudformation

Aws lambda AWS Lambda到Azure函数迁移 aws-lambda azure-functions

Aws lambda 在AWS Lambda函数后面异步实现dotnet core webapi有意义吗？ aws-lambda

Aws lambda 如何存储来自Amazon Lex的用户输入（话语）？ aws-lambda

Aws lambda 如何将命令行参数传递给Serverless/Bref中的Lambda函数？ aws-lambda

Aws lambda 使用lambda和API网关的整个应用程序的单个API端点 aws-lambda

Aws lambda 无服务器框架忽略"；“授权人”；lambda代理设置中的块 aws-lambda

Aws lambda 使用Kinesis和AWS lambda，一个跟踪如何重试，以及当一批重试次数不足时如何重试？ aws-lambda

Aws lambda 在Quarkus Amazon Lambda HTTP指南中，Lambda运行时在类路径上找不到QuarkusStreamHandler aws-lambda

Aws lambda 如何处理AWS lambda服务中的6兆字节限制？ aws-lambda

Aws lambda 在zip就绪之前创建lambda的Terraform aws-lambda terraform

Aws lambda 我可以在AWS Cognito中为登录和注册过程提供不同的回调URL吗？ aws-lambda

Aws lambda AWS Cloudformation SAM文件-如何拆分为多个较小的文件？ aws-lambda amazon-cloudformation

随机文章推荐

Apache nifi 从NiFi中的QueryDatabaseTable获取执行时间 apache-nifi

Apache nifi ApacheNIFI-使用多个流文件作为处理器的输入 apache-nifi

Apache nifi 无法启动Nifi |数据库可能已在使用：“被另一个进程锁定” apache-nifi

Apache nifi 控制器服务的内部500错误：带3节点群集的HDF Nifi apache-nifi

Apache nifi 为什么NiFi不应该'；是否不限制管理员用户的策略删除？ apache-nifi

Apache nifi 如何保存我在nifi上执行的操作。？ apache-nifi

Apache nifi 共享Nifi控制器服务 apache-nifi

Apache nifi 如何在nifi中读取s3木桶中的拼花文件？ apache-nifi

Apache nifi apache nifi PrometheusReportingTask:服务器返回HTTP状态500服务器错误 apache-nifi prometheus

Apache nifi 以下转换需要震动规格 apache-nifi

Apache nifi NiFi在不同节点上分发了ApacheServer和FlowFile apache-nifi

Apache nifi 创建一种在nifi中打开或关闭处理器的方法，以使文件赢得'；t在处理器关闭时排队 apache-nifi

[amazon web services]相关推荐

Amazon web services Ansible动态库存无法获取最新的ec2信息
Amazon Web Services Amazon Ec2 Ansible

Amazon web services 如何更新AWS自动缩放启动的新实例？
Amazon Web Services Cloud

Amazon web services 由于专用ip[aws CloudFormation]，aws堆栈中存在循环依赖关系
Amazon Web Services Amazon Ec2 Amazon Cloudformation

Amazon web services 为什么我的无服务器Lambda无法访问S3存储桶和项目？
Amazon Web Services Amazon S3 Aws Lambda

Amazon web services 描述流下AWS CLI中页面大小参数的用途是什么
Amazon Web Services

Amazon web services AWS-无服务器-"；“讯息”：&引用；“内部服务器错误”；部署时，但脱机工作
Amazon Web Services Express

Amazon web services AWS上的Kubernetes自动校准仪不工作
Amazon Web Services Kubernetes

Amazon web services AWS CloudFormation中的嵌套参数组？
Amazon Web Services Amazon Cloudformation

Amazon web services 如何确保AWS Cloudformation更新期间的资源删除/创建顺序
Amazon Web Services Amazon Cloudformation

Amazon web services 有没有办法为红移表创建别名？
Amazon Web Services Amazon Redshift

Amazon web services amazon GPU实例背后的硬件是什么？
Amazon Web Services Amazon Ec2

Amazon web services 如何确保仅为特定路径调用API网关令牌授权器
Amazon Web Services Amazon Cloudformation

Amazon web services 很难让我的简单网站在SSL和CloudFront中使用SSL
Amazon Web Services

Amazon web services 无法使用控制台创建AWS密钥对
Amazon Web Services

Amazon web services 从移动应用程序安全上传到S3
Amazon Web Services Amazon S3 Mobile

Amazon web services amazon web服务访问被拒绝下载
Amazon Web Services

Amazon web services 错误\u SSL\u协议\u Amazon Amplify/Route 53上的自定义域错误
Amazon Web Services

Amazon web services 新实例旋转时，Aws Elastic beanstalk eExtensions不工作
Amazon Web Services Nginx Amazon Ec2

Amazon web services Lambda函数正在工作，但无法与API网关一起工作
Amazon Web Services Api Aws Lambda

Amazon web services 强化AWS EC2实例
Amazon Web Services Automation

Amazon web services &引用；“自由层”；实例。。。在4天内超过了1 GB带宽的85%。。。如何查看带宽使用情况？
Amazon Web Services Amazon Ec2

Amazon web services AWS Lightsail-如何决定是否需要升级计划或使用负载平衡器
Amazon Web Services

Amazon web services AWS无服务器dynamodb-删除不工作的项
Amazon Web Services Aws Lambda Amazon Dynamodb

Amazon web services 使用terrform创建AWS SSM任务时禁用输入参数
Amazon Web Services Terraform

Amazon web services 让EMR集群在终止时终止其EC2实例
Amazon Web Services Amazon Ec2

Amazon web services 多个nvme的AWS地形自动化<；x>；
Amazon Web Services Terraform

Amazon web services 开玩笑；AWS.DynamoDB.DocumentClient模拟
Amazon Web Services Jestjs

Amazon web services 从ACM生成证书时，找不到AWS客户端终结点
Amazon Web Services

Amazon web services AWS将ETL粘附到红移：日期
Amazon Web Services Amazon Redshift

Amazon web services 无法使用VPC中的SES触发电子邮件
Amazon Web Services Aws Lambda

Tags

Dll C# Zend Framework Filesystems Javascript Vim Discord.js Ubuntu Heroku Codenameone Formatting Docusignapi R Tabs Openshift Docker Primefaces F# Ibm Mq Data Structures Jpa Maven 2 Encoding Speech Recognition Next.js Glsl Leaflet Azure Data Factory Yii2 Html5 Canvas Oauth Oracle10g Linker Quickbooks Windows Phone 8.1 Windows Azure Functions Prolog Processing Logstash Internet Explorer 8 Asp.net Mvc 2 Serialization Alfresco Migration Markdown Tensorflow 3d Kdb Menu Composer Php Select Linq To Sql Groovy Cryptography C# 3.0 Asynchronous Synchronization Wso2 Methods Twitter Bootstrap Asp.net Mvc 4 Orchardcms Gtk Kibana Google Cloud Platform Windows 7 Vaadin Android Emulator Model View Controller Time Complexity Itext Gulp Javafx 2 Windows Phone 7 Kubernetes Twilio Meteor Prometheus Boost Artifactory Windows Phone Jasper Reports Reflection Timer Cluster Computing Entity Framework 4 Blazor Teradata Vbscript Webpack Programming Languages Actions On Google Objective C Exception Handling Llvm Sms Sap Asp.net Mvc 5 Fluent Nhibernate Ipython Jwt Adobe Applescript Compiler Construction Autodesk Forge Geometry Sharepoint Opencart Phpstorm Doctrine Orm Swagger Google Sheets Angular6 Memory Salesforce Windows Services .htaccess Web Scraping Google Cloud Dataflow Office Js Bootstrap 4 Colors Parallel Processing Asp.net Core Silverlight 4.0 Omnet++ Mod Rewrite Sql Server 2012 Ruby On Rails 3.1 Ag Grid Devexpress Parameters Google Visualization Odoo Mdx Gdb Three.js Opengl Es Cobol Zsh Calendar Rally Tcp Sip .net Plugins Tkinter Openlayers Android Layout Inheritance Tridion Gnuplot Rabbitmq Azure Cosmosdb Scala Nunit Amazon Dynamodb Dialogflow Es Google Chrome Jira Nest Transactions Security Forms Ssis Log4j Vhdl Domain Driven Design Grid Swift Filter Struts2 Twitter Bootstrap 3 Pandas Perforce Lambda Bots Oop Tcl Couchdb Server Nservicebus Arduino Dependency Injection Yaml Version Control Dom Url Visual Studio Jsf Zend Framework2 Mobile Rest Ios5 Loopbackjs Rss C++ Cli Webstorm Ms Office Xslt

Copyright © 2024. All Rights Reserved by - Fatal编程技术网