AWS 最佳实践:绝对不要暴露 S3 存储桶名称,账单会被打爆!


  先说结论

不需要知道你的根用户的密码,不需要知道你的根用户的多重验证代码,不需要任何 AWS 凭证;只要你的 Amazon S3 存储桶名称被暴露,哪怕你的 S3 存储桶中没有保存任何对象,任何人都可以合法地刷爆你的 AWS 云账单。

有人将这个案例称为云上黑暗森林法则。对于这个观点,笔者并不完全赞同,文章最后会进行阐述。

  原因分析

其实如果了解 Amazon S3 存储桶的收费机制的话,这个事情并不难理解。

因为 Amazon S3 存储桶的收费构成当中有一项内容,它讲的是根据请求付费。通俗的来讲就是说,当有人对某个 S3 存储桶进行操作,例如写入对象、读取对象等操作的时候,AWS 就会按照“请求计费价格”进行计费,哪怕执行写入对象操作的时候,由于没有足够的权限而未能写入任何对象,每次请求都会被计入请求数量总数当中进行计费。也就是说,攻击者(或者并非恶意攻击者)会收到 AccessDenied 错误提示,但是你要为这个请求买单。

参考:20240621 | Amazon S3 是如何计费的?
...

Claude 3.5 Sonnet 具备先进的智能水平,运行速度可达到 Claude 3 Opus 的两倍,在具有研究生水平的推理能力(GPQA)、本科水平知识(MMLU)和编程能力(HumanEval)方面设立了新的行业基准;在理解细微差别、幽默和复杂指令方面表现有显著的提升;在撰写高质量内容时能表现出更自然、更易理解的语气,生成引人入胜和有说服力的内容,简化写作工作流程,提升叙事能力。

Claude 3.5 Sonnet 可以独立编写、编辑和执行代码,并具备出色的复杂推理和故障排除能力。它能够轻松处理代码翻译,在更新已有的应用程序和迁移代码库方面表现优异,可以准确地从不完美的图像中转录文本,还可以用于自动化视觉数据处理任务,提取有价值的信息,增强医疗保健、金融服务、媒体和娱乐工作负载中的数据分析。