Serverless.com Security

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Información Básica

Organización

Una Organización es la entidad de más alto nivel dentro del ecosistema de Serverless Framework. Representa un grupo colectivo, como una empresa, departamento o cualquier entidad grande, que abarca múltiples proyectos, equipos y aplicaciones.

Equipo

El Equipo son los usuarios con acceso dentro de la organización. Los equipos ayudan a organizar a los miembros según roles. Colaboradores pueden ver y desplegar aplicaciones existentes, mientras que Administradores pueden crear nuevas aplicaciones y gestionar la configuración de la organización.

Aplicación

Una Aplicación es un agrupamiento lógico de servicios relacionados dentro de una Organización. Representa una aplicación completa compuesta de múltiples servicios serverless que trabajan juntos para proporcionar una funcionalidad cohesiva.

Servicios

Un Servicio es el componente central de una aplicación Serverless. Representa tu proyecto serverless completo, encapsulando todas las funciones, configuraciones y recursos necesarios. Se define típicamente en un archivo serverless.yml, un servicio incluye metadatos como el nombre del servicio, configuraciones del proveedor, funciones, eventos, recursos, plugins y variables personalizadas.

service: my-service
provider:
name: aws
runtime: nodejs14.x
functions:
hello:
handler: handler.hello

Función

Una Función representa una única función serverless, como una función AWS Lambda. Contiene el código que se ejecuta en respuesta a eventos.

Se define en la sección functions en serverless.yml, especificando el controlador, el entorno de ejecución, los eventos, las variables de entorno y otras configuraciones.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get

Evento

Eventos son disparadores que invocan tus funciones sin servidor. Definen cómo y cuándo se debe ejecutar una función.

Los tipos de eventos comunes incluyen solicitudes HTTP, eventos programados (trabajos cron), eventos de base de datos, cargas de archivos y más.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
- schedule:
rate: rate(10 minutes)

Recurso

Recursos te permiten definir recursos adicionales en la nube de los que depende tu servicio, como bases de datos, buckets de almacenamiento o roles de IAM.

Se especifican en la sección resources, a menudo utilizando la sintaxis de CloudFormation para AWS.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
TableName: my-table
AttributeDefinitions:
- AttributeName: id
AttributeType: S
KeySchema:
- AttributeName: id
KeyType: HASH
ProvisionedThroughput:
ReadCapacityUnits: 1
WriteCapacityUnits: 1

Proveedor

El Proveedor objeto especifica el proveedor de servicios en la nube (por ejemplo, AWS, Azure, Google Cloud) y contiene configuraciones relevantes para ese proveedor.

Incluye detalles como el entorno de ejecución, la región, la etapa y las credenciales.

yamlCopy codeprovider:
name: aws
runtime: nodejs14.x
region: us-east-1
stage: dev

Etapa y Región

La etapa representa diferentes entornos (por ejemplo, desarrollo, staging, producción) donde tu servicio puede ser desplegado. Permite configuraciones y despliegues específicos del entorno.

provider:
stage: dev

La región especifica la región geográfica donde se desplegarán tus recursos. Es importante para consideraciones de latencia, cumplimiento y disponibilidad.

provider:
region: us-west-2

Plugins

Plugins amplían la funcionalidad del Serverless Framework al agregar nuevas características o integrarse con otras herramientas y servicios. Se definen en la sección plugins y se instalan a través de npm.

plugins:
- serverless-offline
- serverless-webpack

Capas

Capas te permiten empaquetar y gestionar código compartido o dependencias por separado de tus funciones. Esto promueve la reutilización y reduce el tamaño de los paquetes de despliegue. Se definen en la sección layers y son referenciadas por las funciones.

layers:
commonLibs:
path: layer-common
functions:
hello:
handler: handler.hello
layers:
- { Ref: CommonLibsLambdaLayer }

Variables y Variables Personalizadas

Variables permiten la configuración dinámica al permitir el uso de marcadores de posición que se resuelven en el momento de la implementación.

Sintaxis: La sintaxis ${variable} puede hacer referencia a variables de entorno, contenidos de archivos u otros parámetros de configuración.

functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Variables Personalizadas: La sección custom se utiliza para definir variables y configuraciones específicas del usuario que pueden ser reutilizadas en todo el serverless.yml.

custom:
tableName: my-dynamodb-table
stage: ${opt:stage, 'dev'}

Salidas

Salidas definen los valores que se devuelven después de que un servicio es implementado, como ARNs de recursos, puntos finales u otra información útil. Se especifican en la sección outputs y a menudo se utilizan para exponer información a otros servicios o para un acceso fácil después de la implementación.

¡outputs:
ApiEndpoint:
Description: "API Gateway endpoint URL"
Value:
Fn::Join:
- ""
- - "https://"
- Ref: ApiGatewayRestApi
- ".execute-api."
- Ref: AWS::Region
- ".amazonaws.com/"
- Ref: AWS::Stage

Roles y Permisos de IAM

Roles y Permisos de IAM definen las credenciales de seguridad y los derechos de acceso para tus funciones y otros recursos. Se gestionan bajo la configuración del provider o de funciones individuales para especificar los permisos necesarios.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Variables de Entorno

Variables te permiten pasar configuraciones y secretos a tus funciones sin codificarlos de forma rígida. Se definen en la sección environment para el proveedor o funciones individuales.

provider:
environment:
STAGE: ${self:provider.stage}
functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Dependencias

Dependencias gestionan las bibliotecas y módulos externos que requieren tus funciones. Normalmente se manejan a través de administradores de paquetes como npm o pip, y se agrupan con tu paquete de despliegue utilizando herramientas o complementos como serverless-webpack.

plugins:
- serverless-webpack

Hooks

Hooks te permiten ejecutar scripts o comandos personalizados en puntos específicos del ciclo de vida de despliegue. Se definen utilizando plugins o dentro del serverless.yml para realizar acciones antes o después de los despliegues.

custom:
hooks:
before:deploy:deploy: echo "Starting deployment..."

Tutorial

Este es un resumen del tutorial oficial de la documentación:

Crea una cuenta de AWS (Serverless.com comienza en la infraestructura de AWS)
Crea una cuenta en serverless.com
Crea una aplicación:

# Create temp folder for the tutorial
mkdir /tmp/serverless-tutorial
cd /tmp/serverless-tutorial

# Install Serverless cli
npm install -g serverless

# Generate template
serverless #Choose first one (AWS / Node.js / HTTP API)
## Indicate a name like "Tutorial"
## Login/Register
## Create A New App
## Indicate a name like "tutorialapp)

Esto debería haber creado una app llamada tutorialapp que puedes verificar en serverless.com y una carpeta llamada Tutorial con el archivo handler.js que contiene algo de código JS con un código helloworld y el archivo serverless.yml declarando esa función:

exports.hello = async (event) => {
return {
statusCode: 200,
body: JSON.stringify({
message: "Go Serverless v4! Your function executed successfully!",
}),
};
};

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get

Crea un proveedor de AWS, yendo al dashboard en https://app.serverless.com/<org name>/settings/providers?providerId=new&provider=aws.
Para dar acceso a serverless.com a AWS, pedirá ejecutar un stack de cloudformation usando este archivo de configuración (en el momento de escribir esto): https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml
Esta plantilla genera un rol llamado SFRole-<ID> con arn:aws:iam::aws:policy/AdministratorAccess sobre la cuenta con una Identidad de Confianza que permite a la cuenta de AWS de Serverless.com acceder al rol.

Yaml roleTemplate

```yaml Description: This stack creates an IAM role that can be used by Serverless Framework for use in deployments. Resources: SFRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: AWS: arn:aws:iam::486128539022:root Action: - sts:AssumeRole Condition: StringEquals: sts:ExternalId: !Sub 'ServerlessFramework-${OrgUid}' Path: / RoleName: !Ref RoleName ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess ReporterFunction: Type: Custom::ServerlessFrameworkReporter Properties: ServiceToken: 'arn:aws:lambda:us-east-1:486128539022:function:sp-providers-stack-reporter-custom-resource-prod-tmen2ec' OrgUid: !Ref OrgUid RoleArn: !GetAtt SFRole.Arn Alias: !Ref Alias Outputs: SFRoleArn: Description: 'ARN for the IAM Role used by Serverless Framework' Value: !GetAtt SFRole.Arn Parameters: OrgUid: Description: Serverless Framework Org Uid Type: String Alias: Description: Serverless Framework Provider Alias Type: String RoleName: Description: Serverless Framework Role Name Type: String ```

Relación de Confianza

```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::486128539022:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ServerlessFramework-7bf7ddef-e1bf-43eb-a111-4d43e0894ccb" } } } ] } ```

El tutorial pide crear el archivo createCustomer.js, que básicamente creará un nuevo endpoint de API manejado por el nuevo archivo JS y pide modificar el archivo serverless.yml para que genere una nueva tabla DynamoDB, defina una variable de entorno, el rol que estará utilizando las lambdas generadas.

'use strict'
const AWS = require('aws-sdk')
module.exports.createCustomer = async (event) => {
const body = JSON.parse(Buffer.from(event.body, 'base64').toString())
const dynamoDb = new AWS.DynamoDB.DocumentClient()
const putParams = {
TableName: process.env.DYNAMODB_CUSTOMER_TABLE,
Item: {
primary_key: body.name,
email: body.email,
},
}
await dynamoDb.put(putParams).promise()
return {
statusCode: 201,
}
}

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x
environment:
DYNAMODB_CUSTOMER_TABLE: ${self:service}-customerTable-${sls:stage}
iam:
role:
statements:
- Effect: 'Allow'
Action:
- 'dynamodb:PutItem'
- 'dynamodb:Get*'
- 'dynamodb:Scan*'
- 'dynamodb:UpdateItem'
- 'dynamodb:DeleteItem'
Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-customerTable-${sls:stage}

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get
createCustomer:
handler: createCustomer.createCustomer
events:
- httpApi:
path: /
method: post

resources:
Resources:
CustomerTable:
Type: AWS::DynamoDB::Table
Properties:
AttributeDefinitions:
- AttributeName: primary_key
AttributeType: S
BillingMode: PAY_PER_REQUEST
KeySchema:
- AttributeName: primary_key
KeyType: HASH
TableName: ${self:service}-customerTable-${sls:stage}

Despliegue ejecutando serverless deploy
El despliegue se realizará a través de una pila de CloudFormation
Tenga en cuenta que las lambdas están expuestas a través de API gateway y no a través de URLs directas
Pruébelo
El paso anterior imprimirá las URLs donde se han desplegado sus funciones lambda de puntos finales de API

Revisión de Seguridad de Serverless.com

Roles y Permisos de IAM Mal Configurados

Los roles de IAM excesivamente permisivos pueden otorgar acceso no autorizado a recursos en la nube, lo que lleva a filtraciones de datos o manipulación de recursos.

Estrategias de Mitigación

Principio de Menor Privilegio: Asigne solo los permisos necesarios a cada función.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Usar Roles Separados: Diferencie roles según los requisitos de la función.

Secretos Inseguros y Gestión de Configuración

Almacenar información sensible (por ejemplo, claves API, credenciales de base de datos) directamente en serverless.yml o en el código puede llevar a la exposición si los repositorios son comprometidos o si se compromete el acceso a AWS, ya que serán legibles desde las configuraciones de las lambdas.

Estrategias de Mitigación

Variables de Entorno: Inyecte secretos en tiempo de ejecución sin codificarlos.

provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}

Integración con Secrets Manager: Utilice servicios como AWS Secrets Manager, Azure Key Vault o HashiCorp Vault.
Variables Encriptadas: Aproveche las características de encriptación del Framework Serverless para datos sensibles.
Controles de Acceso: Restringa el acceso a secretos según los roles.
Evitar Registrar Secretos: Asegúrese de que los secretos no se expongan en registros o mensajes de error.

Código y Dependencias Vulnerables

Las dependencias desactualizadas o inseguras pueden introducir vulnerabilidades, mientras que un manejo inadecuado de la entrada puede llevar a ataques de inyección de código.

Estrategias de Mitigación

Gestión de Dependencias: Actualice regularmente las dependencias y escanee en busca de vulnerabilidades.

plugins:
- serverless-webpack
- serverless-plugin-snyk

Validación de Entrada: Implemente una validación y sanitización estrictas de todas las entradas.
Revisiones de Código: Realice revisiones exhaustivas para identificar fallas de seguridad.
Análisis Estático: Utilice herramientas para detectar vulnerabilidades en la base de código.

Registro y Monitoreo Inadecuados

Sin un registro y monitoreo adecuados, las actividades maliciosas pueden pasar desapercibidas, retrasando la respuesta a incidentes.

Estrategias de Mitigación

Registro Centralizado: Agregue registros utilizando servicios como AWS CloudWatch o Datadog.

plugins:
- serverless-plugin-datadog

Habilitar Registro Detallado: Capture información esencial sin exponer datos sensibles.
Configurar Alertas: Configure alertas para actividades sospechosas o anomalías.
Monitoreo Regular: Monitoree continuamente registros y métricas en busca de posibles incidentes de seguridad.

Configuraciones Inseguras de API Gateway

APIs abiertas o mal aseguradas pueden ser explotadas para acceso no autorizado, ataques de Denegación de Servicio (DoS) o ataques entre sitios.

Estrategias de Mitigación

Autenticación y Autorización: Implemente mecanismos robustos como OAuth, claves API o JWT.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
authorizer: aws_iam

Limitación de Tasa y Regulación: Prevenga abusos limitando las tasas de solicitud.

provider:
apiGateway:
throttle:
burstLimit: 200
rateLimit: 100

Configuración Segura de CORS: Restringa los orígenes, métodos y encabezados permitidos.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
cors:
origin: https://yourdomain.com
headers:
- Content-Type

Utilizar Firewalls de Aplicaciones Web (WAF): Filtrar y monitorear solicitudes HTTP en busca de patrones maliciosos.

Aislamiento de Funciones Insuficiente

Recursos compartidos y un aislamiento inadecuado pueden llevar a escalaciones de privilegios o interacciones no deseadas entre funciones.

Estrategias de Mitigación

Aislar Funciones: Asigne recursos y roles de IAM distintos para asegurar una operación independiente.
Particionamiento de Recursos: Utilice bases de datos o buckets de almacenamiento separados para diferentes funciones.
Usar VPCs: Despliegue funciones dentro de Nubes Privadas Virtuales para un mejor aislamiento de red.

provider:
vpc:
securityGroupIds:
- sg-xxxxxxxx
subnetIds:
- subnet-xxxxxx

Limitar Permisos de Funciones: Asegúrese de que las funciones no puedan acceder o interferir con los recursos de otras funciones a menos que sea explícitamente necesario.

Protección de Datos Inadecuada

Los datos no encriptados en reposo o en tránsito pueden ser expuestos, lo que lleva a filtraciones de datos o manipulación.

Estrategias de Mitigación

Encriptar Datos en Reposo: Utilice las características de encriptación del servicio en la nube.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
SSESpecification:
SSEEnabled: true

Encriptar Datos en Tránsito: Utilice HTTPS/TLS para todas las transmisiones de datos.
Comunicación API Segura: Haga cumplir protocolos de encriptación y valide certificados.
Gestionar Claves de Encriptación de Forma Segura: Utilice servicios de claves gestionadas y rote las claves regularmente.

Falta de Manejo Adecuado de Errores

Los mensajes de error detallados pueden filtrar información sensible sobre la infraestructura o la base de código, mientras que las excepciones no manejadas pueden llevar a fallos en la aplicación.

Estrategias de Mitigación

Mensajes de Error Genéricos: Evite exponer detalles internos en las respuestas de error.

javascriptCopy code// Ejemplo en Node.js
exports.hello = async (event) => {
try {
// Lógica de la función
} catch (error) {
console.error(error);
return {
statusCode: 500,
body: JSON.stringify({ message: 'Error Interno del Servidor' }),
};
}
};

Manejo Centralizado de Errores: Gestione y sanee errores de manera consistente en todas las funciones.
Monitorear y Registrar Errores: Realice un seguimiento y analice errores internamente sin exponer detalles a los usuarios finales.

Prácticas de Despliegue Inseguras

Las configuraciones de despliegue expuestas o el acceso no autorizado a las tuberías de CI/CD pueden llevar a despliegues de código malicioso o configuraciones incorrectas.

Estrategias de Mitigación

Asegurar las Tuberías de CI/CD: Implemente controles de acceso estrictos, autenticación multifactor (MFA) y auditorías regulares.
Almacenar Configuración de Forma Segura: Mantenga los archivos de despliegue libres de secretos codificados y datos sensibles.
Utilizar Herramientas de Seguridad de Infraestructura como Código (IaC): Emplee herramientas como Checkov o Terraform Sentinel para hacer cumplir políticas de seguridad.
Despliegues Inmutables: Prevenga cambios no autorizados después del despliegue adoptando prácticas de infraestructura inmutable.

Vulnerabilidades en Plugins y Extensiones

Usar plugins de terceros no verificados o maliciosos puede introducir vulnerabilidades en sus aplicaciones serverless.

Estrategias de Mitigación

Evaluar Plugins Exhaustivamente: Evalúe la seguridad de los plugins antes de la integración, favoreciendo aquellos de fuentes reputadas.
Limitar el Uso de Plugins: Utilice solo los plugins necesarios para minimizar la superficie de ataque.
Monitorear Actualizaciones de Plugins: Mantenga los plugins actualizados para beneficiarse de parches de seguridad.
Aislar Entornos de Plugins: Ejecute plugins en entornos aislados para contener posibles compromisos.

Exposición de Puntos Finales Sensibles

Funciones accesibles públicamente o APIs sin restricciones pueden ser explotadas para operaciones no autorizadas.

Estrategias de Mitigación

Restringir el Acceso a Funciones: Utilice VPCs, grupos de seguridad y reglas de firewall para limitar el acceso a fuentes de confianza.
Implementar Autenticación Robusta: Asegúrese de que todos los puntos finales expuestos requieran autenticación y autorización adecuadas.
Utilizar API Gateways de Forma Segura: Configure API Gateways para hacer cumplir políticas de seguridad, incluyendo validación de entrada y limitación de tasa.
Deshabilitar Puntos Finales No Utilizados: Revise regularmente y desactive cualquier punto final que ya no esté en uso.

Permisos Excesivos para Miembros del Equipo y Colaboradores Externos

Otorgar permisos excesivos a miembros del equipo y colaboradores externos puede llevar a acceso no autorizado, filtraciones de datos y uso indebido de recursos. Este riesgo se ve incrementado en entornos donde múltiples individuos tienen diferentes niveles de acceso, aumentando la superficie de ataque y el potencial de amenazas internas.

Estrategias de Mitigación

Principio de Menor Privilegio: Asegúrese de que los miembros del equipo y colaboradores tengan solo los permisos necesarios para realizar sus tareas.

Seguridad de Claves de Acceso y Claves de Licencia

Claves de Acceso y Claves de Licencia son credenciales críticas utilizadas para autenticar y autorizar interacciones con el CLI de Serverless Framework.

Claves de Licencia: Son identificadores únicos requeridos para autenticar el acceso a Serverless Framework Versión 4 que permite iniciar sesión a través del CLI.
Claves de Acceso: Credenciales que permiten al CLI de Serverless Framework autenticarse con el Dashboard de Serverless Framework. Al iniciar sesión con el CLI serverless, se generará y almacenará una clave de acceso en la computadora portátil. También puede configurarla como una variable de entorno llamada SERVERLESS_ACCESS_KEY.

Riesgos de Seguridad

Exposición a Través de Repositorios de Código:

Codificar o comprometer accidentalmente Claves de Acceso y Claves de Licencia en sistemas de control de versiones puede llevar a acceso no autorizado.

Almacenamiento Inseguro:

Almacenar claves en texto plano dentro de variables de entorno o archivos de configuración sin la encriptación adecuada aumenta la probabilidad de filtración.

Distribución Inadecuada:

Compartir claves a través de canales no seguros (por ejemplo, correo electrónico, chat) puede resultar en la interceptación por actores maliciosos.

Falta de Rotación:

No rotar regularmente las claves extiende el período de exposición si las claves son comprometidas.

Permisos Excesivos:

Claves con permisos amplios pueden ser explotadas para realizar acciones no autorizadas en múltiples recursos.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousOkta Hardening NextSupabase Security

Last updated 7 hours ago