gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-12 15:50:19 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service

Browse Source
This commit is contained in:
Translator
2025-01-09 08:33:30 +00:00
parent 3fa8780566
commit 6d54288ec8
2 changed files with 40 additions and 6 deletions
Download Patch File Download Diff File Expand all files Collapse all files

34
README.md Normal file
View File

@@ -0,0 +1,34 @@
# HackTricks Cloud
{{#include ./banners/hacktricks-training.md}}
<figure><img src="images/cloud.gif" alt=""><figcaption></figcaption></figure>
_Τα λογότυπα και η κίνηση του Hacktricks σχεδιάστηκαν από_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
> [!TIP]
> Καλώς ήρθατε στη σελίδα όπου θα βρείτε κάθε **κόλπο/τεχνική/οτιδήποτε σχετίζεται με CI/CD & Cloud** που έχω μάθει σε **CTFs**, **πραγματικά** περιβάλλοντα **ζωής**, **ερευνώντας**, και **διαβάζοντας** έρευνες και νέα.
### **Pentesting CI/CD Methodology**
**Στη Μεθοδολογία CI/CD του HackTricks θα βρείτε πώς να κάνετε pentest υποδομές που σχετίζονται με δραστηριότητες CI/CD.** Διαβάστε την επόμενη σελίδα για μια **εισαγωγή:**
[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md)
### Pentesting Cloud Methodology
**Στη Μεθοδολογία Cloud του HackTricks θα βρείτε πώς να κάνετε pentest σε περιβάλλοντα cloud.** Διαβάστε την επόμενη σελίδα για μια **εισαγωγή:**
[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md)
### License & Disclaimer
**Ελέγξτε τα εδώ:**
[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq)
### Github Stats
![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg)
{{#include ./banners/hacktricks-training.md}}

12
src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
View File

@@ -4,20 +4,20 @@
## Static Web Apps Basic Information
Azure Static Web Apps είναι μια υπηρεσία cloud για φιλοξενία **στατικών web apps με αυτόματη CI/CD από αποθετήρια όπως το GitHub**. Προσφέρει παγκόσμια παράδοση περιεχομένου, serverless backends και ενσωματωμένο HTTPS, καθιστώντας την ασφαλή και κλιμακούμενη. Ωστόσο, ακόμη και αν η υπηρεσία ονομάζεται "στατική", δεν σημαίνει ότι είναι εντελώς ασφαλής. Οι κίνδυνοι περιλαμβάνουν κακή ρύθμιση CORS, ανεπαρκή αυθεντικοποίηση και παραποίηση περιεχομένου, που μπορεί να εκθέσουν τις εφαρμογές σε επιθέσεις όπως XSS και διαρροή δεδομένων αν δεν διαχειριστούν σωστά.
Azure Static Web Apps είναι μια υπηρεσία cloud για τη φιλοξενία **στατικών web apps με αυτόματη CI/CD από αποθετήρια όπως το GitHub**. Προσφέρει παγκόσμια παράδοση περιεχομένου, serverless backends και ενσωματωμένο HTTPS, καθιστώντας την ασφαλή και κλιμακούμενη. Ωστόσο, ακόμη και αν η υπηρεσία ονομάζεται "στατική", δεν σημαίνει ότι είναι εντελώς ασφαλής. Οι κίνδυνοι περιλαμβάνουν κακή διαμόρφωση CORS, ανεπαρκή αυθεντικοποίηση και παραποίηση περιεχομένου, που μπορεί να εκθέσουν τις εφαρμογές σε επιθέσεις όπως XSS και διαρροή δεδομένων αν δεν διαχειριστούν σωστά.
### Deployment Authentication
> [!TIP]
> Όταν δημιουργείται μια Στατική Εφαρμογή, μπορείτε να επιλέξετε την **πολιτική εξουσιοδότησης ανάπτυξης** μεταξύ **Deployment token** και **GitHub Actions workflow**.
- **Deployment token**: Δημιουργείται ένα token και χρησιμοποιείται για την αυθεντικοποίηση της διαδικασίας ανάπτυξης. Οποιοσδήποτε με **αυτό το token είναι αρκετός για να αναπτύξει μια νέα έκδοση της εφαρμογής**. Μια **Github Action αναπτύσσεται αυτόματα** στο repo με το token σε ένα μυστικό για να αναπτύξει μια νέα έκδοση της εφαρμογής κάθε φορά που το repo ενημερώνεται.
- **Deployment token**: Ένα token δημιουργείται και χρησιμοποιείται για την αυθεντικοποίηση της διαδικασίας ανάπτυξης. Οποιοσδήποτε με **αυτό το token είναι αρκετός για να αναπτύξει μια νέα έκδοση της εφαρμογής**. Μια **Github Action αναπτύσσεται αυτόματα** στο repo με το token σε ένα μυστικό για να αναπτύξει μια νέα έκδοση της εφαρμογής κάθε φορά που το repo ενημερώνεται.
- **GitHub Actions workflow**: Σε αυτή την περίπτωση, μια πολύ παρόμοια Github Action αναπτύσσεται επίσης στο repo και το **token αποθηκεύεται επίσης σε ένα μυστικό**. Ωστόσο, αυτή η Github Action έχει μια διαφορά, χρησιμοποιεί την **`actions/github-script@v6`** action για να αποκτήσει το IDToken του αποθετηρίου και να το χρησιμοποιήσει για να αναπτύξει την εφαρμογή.
- Ακόμη και αν και στις δύο περιπτώσεις χρησιμοποιείται η action **`Azure/static-web-apps-deploy@v1`** με ένα token στην παράμετρο `azure_static_web_apps_api_token`, σε αυτή τη δεύτερη περίπτωση, ένα τυχαίο token με έγκυρη μορφή όπως `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` είναι απλώς αρκετό για να αναπτύξει την εφαρμογή καθώς η εξουσιοδότηση γίνεται με το IDToken στην παράμετρο `github_id_token`.
### Web App Basic Authentication
Είναι δυνατόν να **ρυθμίσετε έναν κωδικό πρόσβασης** για την πρόσβαση στην Web App. Η web κονσόλα επιτρέπει να ρυθμιστεί ώστε να προστατεύει μόνο τα περιβάλλοντα staging ή και τα δύο, staging και παραγωγής.
Είναι δυνατόν να **ρυθμίσετε έναν κωδικό πρόσβασης** για την πρόσβαση στην Web App. Η web κονσόλα επιτρέπει τη ρύθμιση του για να προστατεύει μόνο τα περιβάλλοντα staging ή και τα δύο, staging και παραγωγής.
Αυτή είναι η εμφάνιση μιας προστατευμένης με κωδικό πρόσβασης web app τη στιγμή που γράφεται:
@@ -62,7 +62,7 @@ az rest --method GET \
}
}
```
Σημειώστε πώς είναι δυνατόν να **προστατεύσετε μια διαδρομή με έναν ρόλο**, τότε, οι χρήστες θα χρειαστεί να αυθεντικοποιηθούν στην εφαρμογή και να τους παραχωρηθεί αυτός ο ρόλος για να αποκτήσουν πρόσβαση στη διαδρομή. Είναι επίσης δυνατό να **δημιουργήσετε προσκλήσεις** που παραχωρούν συγκεκριμένους ρόλους σε συγκεκριμένους χρήστες που συνδέονται μέσω EntraID, Facebook, GitHub, Google, Twitter, κάτι που μπορεί να είναι χρήσιμο για την κλιμάκωση δικαιωμάτων εντός της εφαρμογής.
Σημειώστε πώς είναι δυνατόν να **προστατεύσετε μια διαδρομή με έναν ρόλο**, τότε, οι χρήστες θα χρειαστεί να αυθεντικοποιηθούν στην εφαρμογή και να τους παραχωρηθεί αυτός ο ρόλος για να αποκτήσουν πρόσβαση στη διαδρομή. Είναι επίσης δυνατό να **δημιουργήσετε προσκλήσεις** που παραχωρούν συγκεκριμένους ρόλους σε συγκεκριμένους χρήστες που συνδέονται μέσω EntraID, Facebook, GitHub, Google, Twitter, κάτι που μπορεί να είναι χρήσιμο για την κλιμάκωση προνομίων εντός της εφαρμογής.
> [!TIP]
> Σημειώστε ότι είναι δυνατόν να ρυθμίσετε την εφαρμογή έτσι ώστε **οι αλλαγές στο αρχείο `staticwebapp.config.json`** να μην γίνονται αποδεκτές. Σε αυτή την περίπτωση, μπορεί να μην είναι αρκετό να αλλάξετε απλώς το αρχείο από το Github, αλλά και να **αλλάξετε τη ρύθμιση στην εφαρμογή**.
@@ -115,9 +115,9 @@ az staticwebapp backends show --name <name> --resource-group <res-group>
2. Στο Azure portal δημιουργήστε μια Static Web App ρυθμίζοντας την πρόσβαση στο Github και επιλέγοντας το προηγουμένως forked νέο αποθετήριο
3. Δημιουργήστε το, περιμένετε μερικά λεπτά και ελέγξτε τη νέα σας σελίδα!
## Ανύψωση Προνομίων και Μετά την Εκμετάλλευση
## Ανάβαση Δικαιωμάτων και Μετά την Εκμετάλλευση
Όλες οι πληροφορίες σχετικά με την ανύψωση προνομίων και την μετά την εκμετάλλευση στις Azure Static Web Apps μπορούν να βρεθούν στον παρακάτω σύνδεσμο:
Όλες οι πληροφορίες σχετικά με την ανάβαση δικαιωμάτων και την μετά την εκμετάλλευση στις Azure Static Web Apps μπορούν να βρεθούν στον παρακάτω σύνδεσμο:
{{#ref}}
../az-privilege-escalation/az-static-web-apps-privesc.md