GCP - Understanding Domain-Wide Delegation
Last updated
Last updated
Αυτή η ανάρτηση είναι η εισαγωγή του https://www.hunters.security/en/blog/delefriend-a-newly-discovered-design-flaw-in-domain-wide-delegation-could-leave-google-workspace-vulnerable-for-takeover που μπορεί να ανατρέξετε για περισσότερες λεπτομέρειες.
Η εξουσιοδότηση σε όλο τον τομέα του Google Workspace επιτρέπει σε ένα αντικείμενο ταυτότητας, είτε μια εξωτερική εφαρμογή από την αγορά του Google Workspace είτε ένα εσωτερικό Λογαριασμό Υπηρεσίας GCP, να έχει πρόσβαση σε δεδομένα σε όλο το Workspace εκ μέρους των χρηστών. Αυτή η δυνατότητα, η οποία είναι κρίσιμη για εφαρμογές που αλληλεπιδρούν με τα API του Google ή υπηρεσίες που χρειάζονται προσομοίωση χρήστη, βελτιώνει την αποδοτικότητα και μειώνει τον ανθρώπινο λάθος αυτοματοποιώντας τις εργασίες. Χρησιμοποιώντας το OAuth 2.0, οι προγραμματιστές εφαρμογών και οι διαχειριστές μπορούν να δώσουν σε αυτούς τους λογαριασμούς υπηρεσίας πρόσβαση σε δεδομένα χρηστών χωρίς την ατομική συγκατάθεση του χρήστη. Το Google Workspace επιτρέπει τη δημιουργία δύο κύριων τύπων αντικειμένων ταυτότητας με εξουσιοδότηση σε όλο τον τομέα:
Εφαρμογές GWS: Οι εφαρμογές από την αγορά του Workspace μπορούν να ρυθμιστούν ως αντικείμενα με εξουσιοδότηση. Πριν γίνουν διαθέσιμες στην αγορά, κάθε εφαρμογή Workspace υπόκειται σε αξιολόγηση από την Google για να μειωθεί ο κίνδυνος κατάχρησης. Αν και αυτό δεν εξαλείφει εντελώς τον κίνδυνο κατάχρησης, αυξάνει σημαντικά τη δυσκολία για τέτοια περιστατικά.
Λογαριασμός Υπηρεσίας GCP: Μάθετε περισσότερα για τους Λογαριασμούς Υπηρεσίας GCP εδώ.
Έτσι ένας Λογαριασμός Υπηρεσίας GCP μπορεί να έχει πρόσβαση σε API του Google εκ μέρους άλλων ταυτοτήτων στο Google Workspace:
Η Ταυτότητα δημιουργεί ένα JWT: Η Ταυτότητα χρησιμοποιεί το ιδιωτικό κλειδί του λογαριασμού υπηρεσίας (μέρος του αρχείου ζεύγους κλειδιών JSON) για να υπογράψει ένα JWT. Αυτό το JWT περιέχει δηλώσεις σχετικά με τον λογαριασμό υπηρεσίας, τον στόχο χρήστη προς προσομοίωση και τους τομείς OAuth πρόσβασης στο REST API που ζητείται.
Η Ταυτότητα χρησιμοποιεί το JWT για να ζητήσει ένα διακριτικό πρόσβασης: Η εφαρμογή/χρήστης χρησιμοποιεί το JWT για να ζητήσει ένα δι