Serverless.com Security

Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

Organisasie

'n Organisasie is die hoogste vlak entiteit binne die Serverless Framework ekosisteem. Dit verteenwoordig 'n kollektiewe groep, soos 'n maatskappy, departement, of enige groot entiteit, wat verskeie projekte, spanne, en toepassings insluit.

Span

Die Span is die gebruikers met toegang binne die organisasie. Spanne help om lede te organiseer op grond van rolle. Samewerkers kan bestaande toepassings sien en ontplooi, terwyl Admins nuwe toepassings kan skep en organisasie-instellings kan bestuur.

Toepassing

'n App is 'n logiese groepe van verwante dienste binne 'n Organisasie. Dit verteenwoordig 'n volledige toepassing wat bestaan uit verskeie serverless dienste wat saamwerk om 'n samehangende funksionaliteit te bied.

Dienste

'n Diens is die kernkomponent van 'n Serverless toepassing. Dit verteenwoordig jou hele serverless projek, wat al die funksies, konfigurasies, en hulpbronne insluit wat nodig is. Dit word tipies gedefinieer in 'n serverless.yml lêer, 'n diens sluit metadata in soos die diensnaam, verskaffer konfigurasies, funksies, gebeurtenisse, hulpbronne, plugins, en persoonlike veranderlikes.

service: my-service
provider:
name: aws
runtime: nodejs14.x
functions:
hello:
handler: handler.hello

Funksie

'n Funksie verteenwoordig 'n enkele serverless funksie, soos 'n AWS Lambda funksie. Dit bevat die kode wat uitgevoer word in reaksie op gebeurtenisse.

Dit is gedefinieer onder die functions afdeling in serverless.yml, wat die handler, runtime, gebeurtenisse, omgewingsveranderlikes, en ander instellings spesifiseer.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get

Gebeurtenis

Gebeurtenisse is triggers wat jou serverless funksies aanroep. Hulle definieer hoe en wanneer 'n funksie uitgevoer moet word.

Gewone gebeurtenistipes sluit HTTP versoeke, geskeduleerde gebeurtenisse (cron jobs), databasis gebeurtenisse, lêer opgelaai, en meer in.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
- schedule:
rate: rate(10 minutes)

Hulpbronne

Hulpbronne stel jou in staat om addisionele wolk hulpbronne te definieer waarop jou diens afhanklik is, soos databasisse, stoor emmers of IAM rolle.

Hulle word onder die resources afdeling gespesifiseer, dikwels met behulp van CloudFormation-sintaksis vir AWS.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
TableName: my-table
AttributeDefinitions:
- AttributeName: id
AttributeType: S
KeySchema:
- AttributeName: id
KeyType: HASH
ProvisionedThroughput:
ReadCapacityUnits: 1
WriteCapacityUnits: 1

Verskaffer

Die Verskaffer objek spesifiseer die wolkdiensteverskaffer (bv. AWS, Azure, Google Cloud) en bevat konfigurasie-instellings wat relevant is vir daardie verskaffer.

Dit sluit besonderhede in soos die runtime, streek, fase, en geloofsbriewe.

yamlCopy codeprovider:
name: aws
runtime: nodejs14.x
region: us-east-1
stage: dev

Fase en Streek

Die fase verteenwoordig verskillende omgewings (bv., ontwikkeling, staging, produksie) waar jou diens ontplooi kan word. Dit stel omgewing-spesifieke konfigurasies en ontplooiings in staat.

provider:
stage: dev

Die streek spesifiseer die geografiese streek waar jou hulpbronne ontplooi sal word. Dit is belangrik vir latensie, nakoming en beskikbaarheids oorwegings.

provider:
region: us-west-2

Plugins

Plugins brei die funksionaliteit van die Serverless Framework uit deur nuwe kenmerke by te voeg of te integreer met ander gereedskap en dienste. Hulle word onder die plugins afdeling gedefinieer en geïnstalleer via npm.

plugins:
- serverless-offline
- serverless-webpack

Lae

Lae stel jou in staat om gedeelde kode of afhanklikhede apart van jou funksies te pak en te bestuur. Dit bevorder herbruikbaarheid en verminder die grootte van ontplooiingspakkette. Hulle word onder die layers afdeling gedefinieer en deur funksies verwys.

layers:
commonLibs:
path: layer-common
functions:
hello:
handler: handler.hello
layers:
- { Ref: CommonLibsLambdaLayer }

Veranderlikes en Aangepaste Veranderlikes

Veranderlikes stel dinamiese konfigurasie in staat deur die gebruik van plekhouers wat by ontplooiingstyd opgelos word.

Sintaksis: ${variable} sintaksis kan omgewing veranderlikes, lêerinhoud, of ander konfigurasieparameters verwys.

functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Aangepaste Veranderlikes: Die custom afdeling word gebruik om gebruiker-spesifieke veranderlikes en konfigurasies te definieer wat hergebruik kan word deur die hele serverless.yml.

custom:
tableName: my-dynamodb-table
stage: ${opt:stage, 'dev'}

Uitsette

Uitsette definieer die waardes wat teruggegee word nadat 'n diens ontplooi is, soos hulpbron ARNs, eindpunte, of ander nuttige inligting. Hulle word onder die outputs afdeling gespesifiseer en word dikwels gebruik om inligting aan ander dienste bloot te stel of vir maklike toegang na ontplooiing.

¡outputs:
ApiEndpoint:
Description: "API Gateway endpoint URL"
Value:
Fn::Join:
- ""
- - "https://"
- Ref: ApiGatewayRestApi
- ".execute-api."
- Ref: AWS::Region
- ".amazonaws.com/"
- Ref: AWS::Stage

IAM Rolle en Toestemmings

IAM Rolle en Toestemmings definieer die sekuriteitsakkredite en toegangregte vir jou funksies en ander hulpbronne. Hulle word bestuur onder die provider of individuele funksie-instellings om nodige toestemmings te spesifiseer.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Omgewing Veranderlikes

Veranderlikes stel jou in staat om konfigurasie-instellings en geheime inligting aan jou funksies oor te dra sonder om dit hard te kodifiseer. Hulle word gedefinieer onder die environment afdeling vir óf die verskaffer óf individuele funksies.

provider:
environment:
STAGE: ${self:provider.stage}
functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Afhangighede

Afhangighede bestuur die eksterne biblioteke en modules wat jou funksies benodig. Hulle word tipies hanteer deur middel van pakketbestuurders soos npm of pip, en saamgepak met jou ontplooiingspakket met behulp van gereedskap of plugins soos serverless-webpack.

plugins:
- serverless-webpack

Hooks

Hooks stel jou in staat om pasgemaakte skripte of opdragte op spesifieke punte in die ontplooiing lewensiklus uit te voer. Hulle word gedefinieer met behulp van plugins of binne die serverless.yml om aksies voor of na ontplooiings uit te voer.

custom:
hooks:
before:deploy:deploy: echo "Starting deployment..."

Tutorial

Dit is 'n opsomming van die amptelike tutoriaal uit die dokumentasie:

Skep 'n AWS-rekening (Serverless.com begin in AWS-infrastruktuur)
Skep 'n rekening in serverless.com
Skep 'n app:

# Create temp folder for the tutorial
mkdir /tmp/serverless-tutorial
cd /tmp/serverless-tutorial

# Install Serverless cli
npm install -g serverless

# Generate template
serverless #Choose first one (AWS / Node.js / HTTP API)
## Indicate a name like "Tutorial"
## Login/Register
## Create A New App
## Indicate a name like "tutorialapp)

Dit behoort 'n app genaamd tutorialapp te geskep het wat jy kan nagaan in serverless.com en 'n gids genaamd Tutorial met die lêer handler.js wat 'n paar JS-kode bevat met 'n helloworld kode en die lêer serverless.yml wat daardie funksie verklaar:

exports.hello = async (event) => {
return {
statusCode: 200,
body: JSON.stringify({
message: "Go Serverless v4! Your function executed successfully!",
}),
};
};

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get

Skep 'n AWS verskaffer deur in die dashboard te gaan op https://app.serverless.com/<org name>/settings/providers?providerId=new&provider=aws.
Om serverless.com toegang tot AWS te gee, sal dit vra om 'n cloudformation-stapel te loop met hierdie konfigurasie-lêer (op die tyd van hierdie skrywe): https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml
Hierdie sjabloon genereer 'n rol genaamd SFRole-<ID> met arn:aws:iam::aws:policy/AdministratorAccess oor die rekening met 'n Vertroue Identiteit wat Serverless.com AWS rekening toelaat om toegang tot die rol te verkry.

Yaml roleTemplate

```yaml Description: This stack creates an IAM role that can be used by Serverless Framework for use in deployments. Resources: SFRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: AWS: arn:aws:iam::486128539022:root Action: - sts:AssumeRole Condition: StringEquals: sts:ExternalId: !Sub 'ServerlessFramework-${OrgUid}' Path: / RoleName: !Ref RoleName ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess ReporterFunction: Type: Custom::ServerlessFrameworkReporter Properties: ServiceToken: 'arn:aws:lambda:us-east-1:486128539022:function:sp-providers-stack-reporter-custom-resource-prod-tmen2ec' OrgUid: !Ref OrgUid RoleArn: !GetAtt SFRole.Arn Alias: !Ref Alias Outputs: SFRoleArn: Description: 'ARN for the IAM Role used by Serverless Framework' Value: !GetAtt SFRole.Arn Parameters: OrgUid: Description: Serverless Framework Org Uid Type: String Alias: Description: Serverless Framework Provider Alias Type: String RoleName: Description: Serverless Framework Role Name Type: String ```

Vertrouensverhouding

```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::486128539022:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ServerlessFramework-7bf7ddef-e1bf-43eb-a111-4d43e0894ccb" } } } ] } ```

Die tutoriaal vra om die lêer createCustomer.js te skep wat basies 'n nuwe API-eindpunt sal skep wat deur die nuwe JS-lêer hanteer word en vra om die serverless.yml-lêer te wysig om 'n nuwe DynamoDB-tabel te genereer, 'n omgewing veranderlike te definieer, die rol wat die gegenereerde lambdas sal gebruik.

'use strict'
const AWS = require('aws-sdk')
module.exports.createCustomer = async (event) => {
const body = JSON.parse(Buffer.from(event.body, 'base64').toString())
const dynamoDb = new AWS.DynamoDB.DocumentClient()
const putParams = {
TableName: process.env.DYNAMODB_CUSTOMER_TABLE,
Item: {
primary_key: body.name,
email: body.email,
},
}
await dynamoDb.put(putParams).promise()
return {
statusCode: 201,
}
}

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x
environment:
DYNAMODB_CUSTOMER_TABLE: ${self:service}-customerTable-${sls:stage}
iam:
role:
statements:
- Effect: 'Allow'
Action:
- 'dynamodb:PutItem'
- 'dynamodb:Get*'
- 'dynamodb:Scan*'
- 'dynamodb:UpdateItem'
- 'dynamodb:DeleteItem'
Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-customerTable-${sls:stage}

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get
createCustomer:
handler: createCustomer.createCustomer
events:
- httpApi:
path: /
method: post

resources:
Resources:
CustomerTable:
Type: AWS::DynamoDB::Table
Properties:
AttributeDefinitions:
- AttributeName: primary_key
AttributeType: S
BillingMode: PAY_PER_REQUEST
KeySchema:
- AttributeName: primary_key
KeyType: HASH
TableName: ${self:service}-customerTable-${sls:stage}

Ontplooi dit met serverless deploy
Die ontplooiing sal uitgevoer word deur 'n CloudFormation Stap
Let daarop dat die lambdas blootgestel word via API gateway en nie via direkte URL's nie
Toets dit
Die vorige stap sal die URL's druk waar jou API eindpunte lambda funksies ontplooi is

Sekuriteitsherziening van Serverless.com

Verkeerd Geconfigureerde IAM Rolle en Toestemmings

Oormatig permissiewe IAM rolle kan ongeautoriseerde toegang tot wolkbronne verleen, wat lei tot datalekke of bronmanipulasie.

Versagtingsstrategieë

Beginsel van Minste Bevoegdheid: Ken slegs die nodige toestemmings aan elke funksie toe.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Gebruik Geskeide Rolle: Verskaf rolle gebaseer op funksievereistes.

Onveilige Geheime en Konfigurasiebestuur

Die stoor van sensitiewe inligting (bv. API sleutels, databasis akrediteer) direk in serverless.yml of kode kan lei tot blootstelling as repositories gecompromitteer word of as toegang tot AWS gecompromitteer word, aangesien dit leesbaar sal wees vanaf die lambdas konfigurasies.

Versagtingsstrategieë

Omgewingveranderlikes: Spuit geheime tydens uitvoering sonder om dit hard te kodifiseer.

provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}

Geheime Bestuurder Integrasie: Gebruik dienste soos AWS Secrets Manager, Azure Key Vault, of HashiCorp Vault.
Gekodeerde Veranderlikes: Maak gebruik van die Serverless Framework se versleuteling funksies vir sensitiewe data.
Toegangbeheer: Beperk toegang tot geheime gebaseer op rolle.
Vermy die Log van Geheime: Verseker dat geheime nie in logs of foutboodskappe blootgestel word nie.

Kwetsbare Kode en Afhanklikhede

Verouderde of onveilige afhanklikhede kan kwesbaarhede inbring, terwyl onvanpaste invoerhantering kan lei tot kode-inspuitaanvalle.

Versagtingsstrategieë

Afhanklikheidsbestuur: Werk afhanklikhede gereeld op en skandeer vir kwesbaarhede.

plugins:
- serverless-webpack
- serverless-plugin-snyk

Invoer Validasie: Implementeer streng validasie en sanitisering van alle invoere.
Kode Hersienings: Voer deeglike hersienings uit om sekuriteitsfoute te identifiseer.
Statiese Analise: Gebruik gereedskap om kwesbaarhede in die kodebasis te ontdek.

Onvoldoende Logging en Monitering

Sonder behoorlike logging en monitering kan kwaadwillige aktiwiteite onopgemerk bly, wat die insidentrespons vertraag.

Versagtingsstrategieë

Gekonsolideerde Logging: Aggregere logs met dienste soos AWS CloudWatch of Datadog.

plugins:
- serverless-plugin-datadog

Aktiveer Gedetailleerde Logging: Vang noodsaaklike inligting sonder om sensitiewe data bloot te stel.
Stel Waarskuwings In: Konfigureer waarskuwings vir verdagte aktiwiteite of anomalieë.
Gereelde Monitering: Moniteer logs en metrieke voortdurend vir potensiële sekuriteitsinsidente.

Onveilige API Gateway Konfigurasies

Oop of verkeerd beveiligde API's kan uitgebuit word vir ongeautoriseerde toegang, Denial of Service (DoS) aanvalle, of kruis-web aanvalle.

Versagtingsstrategieë

Outentisering en Autorisasie: Implementeer robuuste mekanismes soos OAuth, API sleutels, of JWT.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
authorizer: aws_iam

Tariefbeperking en Throttling: Voorkom misbruik deur versoek tariewe te beperk.

provider:
apiGateway:
throttle:
burstLimit: 200
rateLimit: 100

Veilige CORS Konfigurasie: Beperk toegelate oorspronge, metodes, en koppe.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
cors:
origin: https://yourdomain.com
headers:
- Content-Type

Gebruik Webtoepassing Vuurmure (WAF): Filter en monitor HTTP versoeke vir kwaadwillige patrone.

Onvoldoende Funksie Isolasie

Gedeelde bronne en onvoldoende isolasie kan lei tot bevoegdheidseskalaties of onbedoelde interaksies tussen funksies.

Versagtingsstrategieë

Isolasie van Funksies: Ken unieke bronne en IAM rolle toe om onafhanklike werking te verseker.
Hulpbron Partitionering: Gebruik geskeide databasisse of stoor emmers vir verskillende funksies.
Gebruik VPC's: Ontplooi funksies binne Virtuele Privaatskywe vir verbeterde netwerkisolasie.

provider:
vpc:
securityGroupIds:
- sg-xxxxxxxx
subnetIds:
- subnet-xxxxxx

Beperk Funksie Toestemmings: Verseker dat funksies nie toegang het tot of mekaar se bronne kan beïnvloed nie, tensy dit eksplisiet vereis word.

Onvoldoende Data Beskerming

Onversleutelde data in rus of in oordrag kan blootgestel word, wat lei tot datalekke of vervalsing.

Versagtingsstrategieë

Versleutel Data in Rus: Maak gebruik van wolkdienste se versleuteling funksies.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
SSESpecification:
SSEEnabled: true

Versleutel Data in Oordrag: Gebruik HTTPS/TLS vir alle datatransmissies.
Veilige API Kommunikasie: Handhaaf versleuteling protokolle en valideer sertifikate.
Bestuur Versleuteling Sleutels Veilig: Gebruik bestuurde sleutel dienste en draai sleutels gereeld.

Gebrek aan Behoorlike Fout Hantering

Gedetailleerde foutboodskappe kan sensitiewe inligting oor die infrastruktuur of kodebasis blootstel, terwyl onbehandelde uitsonderings kan lei tot toepassingskrake.

Versagtingsstrategieë

Generiese Foutboodskappe: Vermy die blootstelling van interne besonderhede in fout antwoorde.

javascriptCopy code// Voorbeeld in Node.js
exports.hello = async (event) => {
try {
// Funksielogika
} catch (error) {
console.error(error);
return {
statusCode: 500,
body: JSON.stringify({ message: 'Interne Bediener Fout' }),
};
}
};

Gekonsolideerde Fout Hantering: Bestuur en saniteer foute konsekwent oor alle funksies.
Monitor en Log Foute: Volg en analiseer foute intern sonder om besonderhede aan eindgebruikers bloot te stel.

Onveilige Ontplooiing Praktieke

Blootgestelde ontplooiing konfigurasies of ongeautoriseerde toegang tot CI/CD pype kan lei tot kwaadwillige kode ontplooiings of misconfigurasies.

Versagtingsstrategieë

Veilige CI/CD Pype: Implementeer streng toegangbeheer, multi-faktor autentisering (MFA), en gereelde ouditte.
Berg Konfigurasie Veilig: Hou ontplooiing lêers vry van hardgekodeerde geheime en sensitiewe data.
Gebruik Infrastruktuur as Kode (IaC) Sekuriteitsgereedskap: Gebruik gereedskap soos Checkov of Terraform Sentinel om sekuriteitsbeleide af te dwing.
Onveranderlike Ontplooiings: Voorkom ongeautoriseerde veranderinge na ontplooiing deur onveranderlike infrastruktuur praktyke aan te neem.

Kwetsbaarhede in Plugins en Uitbreidings

Die gebruik van ongeëvalueerde of kwaadwillige derdeparty plugins kan kwesbaarhede in jou serverless toepassings inbring.

Versagtingsstrategieë

Evalueer Plugins Deeglik: Beoordeel die sekuriteit van plugins voor integrasie, en verkies dié van betroubare bronne.
Beperk Plugin Gebruik: Gebruik slegs nodige plugins om die aanval oppervlak te minimaliseer.
Monitor Plugin Opdaterings: Hou plugins op datum om voordeel te trek uit sekuriteitsopdaterings.
Isolasie van Plugin Omgewings: Voer plugins in geïsoleerde omgewings uit om potensiële kompromies te bevat.

Blootstelling van Sensitiewe Eindpunte

Publiek toeganklike funksies of onbeperkte API's kan uitgebuit word vir ongeautoriseerde operasies.

Versagtingsstrategieë

Beperk Funksie Toegang: Gebruik VPC's, sekuriteitsgroepe, en vuurmuur reëls om toegang tot betroubare bronne te beperk.
Implementeer Robuuste Outentisering: Verseker dat alle blootgestelde eindpunte behoorlike outentisering en autorisasie vereis.
Gebruik API Gateways Veilig: Konfigureer API Gateways om sekuriteitsbeleide af te dwing, insluitend invoer validasie en tariefbeperking.
Deaktiveer Ongebruikte Eindpunte: Hersien en deaktiveer gereeld enige eindpunte wat nie meer gebruik word nie.

Oormaatige Toestemmings vir Spanlede en Eksterne Samewerkers

Die toekenning van oormaatige toestemmings aan spanlede en eksterne samewerkers kan lei tot ongeautoriseerde toegang, datalekke, en misbruik van bronne. Hierdie risiko is verhoog in omgewings waar verskeie individue verskillende vlakke van toegang het, wat die aanval oppervlak en potensiaal vir binnelandse bedreigings verhoog.

Versagtingsstrategieë

Beginsel van Minste Bevoegdheid: Verseker dat spanlede en samewerkers slegs die toestemmings het wat nodig is om hul take uit te voer.

Toegang Sleutels en Lisensie Sleutels Sekuriteit

Toegang Sleutels en Lisensie Sleutels is kritieke akrediteer wat gebruik word om interaksies met die Serverless Framework CLI te outentiseer en te autoriseer.

Lisensie Sleutels: Dit is unieke identifiseerders wat benodig word vir die outentisering van toegang tot Serverless Framework weergawe 4 wat toelaat om via CLI aan te meld.
Toegang Sleutels: Akrediteer wat die Serverless Framework CLI toelaat om met die Serverless Framework Dashboard te outentiseer. Wanneer jy aanmeld met serverless cli, sal 'n toegang sleutel gegenereer en op die skootrekenaar gestoor word. Jy kan dit ook as 'n omgewingveranderlike genaamd SERVERLESS_ACCESS_KEY stel.

Sekuriteitsrisiko's

Blootstelling Deur Kode Repositories:

Hardkodering of per ongeluk die toewysing van Toegang Sleutels en Lisensie Sleutels aan weergawebeheer stelsels kan lei tot ongeautoriseerde toegang.

Onveilige Berging:

Die stoor van sleutels in platte teks binne omgewingveranderlikes of konfigurasielêers sonder behoorlike versleuteling verhoog die waarskynlikheid van lekkasie.

Onvanpaste Verspreiding:

Die deel van sleutels deur onveilige kanale (bv. e-pos, klets) kan lei tot onderskepping deur kwaadwillige akteurs.

Gebrek aan Rotasie:

Om sleutels nie gereeld te roteer nie, verleng die blootstellingsperiode as sleutels gecompromitteer word.

Oormaatige Toestemmings:

Sleutels met breë toestemmings kan uitgebuit word om ongeautoriseerde aksies oor verskeie bronne uit te voer.

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PR's in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousOkta Hardening NextSupabase Security

Last updated 7 hours ago