Serverless.com Security

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Organization

एक Organization Serverless Framework पारिस्थितिकी तंत्र के भीतर उच्चतम स्तर की इकाई है। यह एक सामूहिक समूह का प्रतिनिधित्व करता है, जैसे कि एक कंपनी, विभाग, या कोई भी बड़ा संगठन, जो कई परियोजनाओं, टीमों और अनुप्रयोगों को समाहित करता है।

Team

Team वे उपयोगकर्ता हैं जिनके पास संगठन के भीतर पहुंच है। टीमें सदस्यों को भूमिकाओं के आधार पर व्यवस्थित करने में मदद करती हैं। Collaborators मौजूदा ऐप्स को देख और तैनात कर सकते हैं, जबकि Admins नए ऐप्स बना सकते हैं और संगठन की सेटिंग्स प्रबंधित कर सकते हैं।

Application

एक App एक संगठन के भीतर संबंधित सेवाओं का तार्किक समूह है। यह कई सर्वरलेस सेवाओं से मिलकर बना एक पूर्ण अनुप्रयोग का प्रतिनिधित्व करता है जो एक साथ मिलकर एक समग्र कार्यक्षमता प्रदान करते हैं।

Services

एक Service एक सर्वरलेस अनुप्रयोग का मुख्य घटक है। यह आपके पूरे सर्वरलेस प्रोजेक्ट का प्रतिनिधित्व करता है, जिसमें सभी कार्य, कॉन्फ़िगरेशन और आवश्यक संसाधन शामिल होते हैं। यह आमतौर पर serverless.yml फ़ाइल में परिभाषित होता है, एक सेवा में सेवा का नाम, प्रदाता कॉन्फ़िगरेशन, कार्य, घटनाएँ, संसाधन, प्लगइन्स, और कस्टम वेरिएबल्स जैसी मेटाडेटा शामिल होती है।

service: my-service
provider:
name: aws
runtime: nodejs14.x
functions:
hello:
handler: handler.hello

Function

एक Function एकल सर्वरलेस फ़ंक्शन का प्रतिनिधित्व करता है, जैसे कि AWS Lambda फ़ंक्शन। इसमें वह कोड होता है जो घटनाओं के जवाब में निष्पादित होता है।

यह serverless.yml में functions अनुभाग के तहत परिभाषित किया गया है, जिसमें हैंडलर, रनटाइम, घटनाएँ, पर्यावरण चर, और अन्य सेटिंग्स निर्दिष्ट की गई हैं।

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get

इवेंट

इवेंट्स आपके सर्वरलेस फ़ंक्शंस को सक्रिय करने वाले ट्रिगर्स हैं। वे यह परिभाषित करते हैं कि एक फ़ंक्शन को कब और कैसे निष्पादित किया जाना चाहिए।

सामान्य इवेंट प्रकारों में HTTP अनुरोध, अनुसूचित इवेंट (क्रॉन जॉब), डेटाबेस इवेंट, फ़ाइल अपलोड और अधिक शामिल हैं।

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
- schedule:
rate: rate(10 minutes)

संसाधन

संसाधन आपको अतिरिक्त क्लाउड संसाधनों को परिभाषित करने की अनुमति देते हैं जिन पर आपकी सेवा निर्भर करती है, जैसे डेटाबेस, स्टोरेज बकेट, या IAM भूमिकाएँ।

इन्हें resources अनुभाग के तहत निर्दिष्ट किया जाता है, अक्सर AWS के लिए CloudFormation सिंटैक्स का उपयोग करते हुए।

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
TableName: my-table
AttributeDefinitions:
- AttributeName: id
AttributeType: S
KeySchema:
- AttributeName: id
KeyType: HASH
ProvisionedThroughput:
ReadCapacityUnits: 1
WriteCapacityUnits: 1

प्रदाता

The Provider object specifies the cloud service provider (e.g., AWS, Azure, Google Cloud) and contains configuration settings relevant to that provider.

यह विवरण शामिल करता है जैसे कि रनटाइम, क्षेत्र, चरण, और क्रेडेंशियल्स।

yamlCopy codeprovider:
name: aws
runtime: nodejs14.x
region: us-east-1
stage: dev

स्टेज और क्षेत्र

स्टेज विभिन्न वातावरणों का प्रतिनिधित्व करता है (जैसे, विकास, स्टेजिंग, उत्पादन) जहाँ आपकी सेवा को तैनात किया जा सकता है। यह वातावरण-विशिष्ट कॉन्फ़िगरेशन और तैनाती की अनुमति देता है।

provider:
stage: dev

क्षेत्र उस भौगोलिक क्षेत्र को निर्दिष्ट करता है जहाँ आपके संसाधन तैनात किए जाएंगे। यह विलंबता, अनुपालन और उपलब्धता के विचारों के लिए महत्वपूर्ण है।

provider:
region: us-west-2

Plugins

Plugins Serverless Framework की कार्यक्षमता को नए फीचर्स जोड़कर या अन्य उपकरणों और सेवाओं के साथ एकीकृत करके बढ़ाते हैं। इन्हें plugins अनुभाग के तहत परिभाषित किया जाता है और npm के माध्यम से स्थापित किया जाता है।

plugins:
- serverless-offline
- serverless-webpack

परतें

परतें आपको साझा कोड या निर्भरताओं को आपके कार्यों से अलग पैकेज और प्रबंधित करने की अनुमति देती हैं। यह पुन: उपयोग को बढ़ावा देती है और तैनाती पैकेज के आकार को कम करती है। इन्हें layers अनुभाग के तहत परिभाषित किया जाता है और कार्यों द्वारा संदर्भित किया जाता है।

layers:
commonLibs:
path: layer-common
functions:
hello:
handler: handler.hello
layers:
- { Ref: CommonLibsLambdaLayer }

Variables और Custom Variables

Variables गतिशील कॉन्फ़िगरेशन को सक्षम बनाते हैं, जिससे प्लेसहोल्डर्स का उपयोग किया जा सकता है जो तैनाती के समय हल होते हैं।

Syntax: ${variable} सिंटैक्स पर्यावरण चर, फ़ाइल सामग्री, या अन्य कॉन्फ़िगरेशन पैरामीटर को संदर्भित कर सकता है।

functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Custom Variables: custom अनुभाग का उपयोग उपयोगकर्ता-विशिष्ट चर और कॉन्फ़िगरेशन को परिभाषित करने के लिए किया जाता है जिन्हें serverless.yml में पुन: उपयोग किया जा सकता है।

custom:
tableName: my-dynamodb-table
stage: ${opt:stage, 'dev'}

Outputs

Outputs उन मानों को परिभाषित करते हैं जो एक सेवा के तैनात होने के बाद लौटाए जाते हैं, जैसे संसाधन ARNs, एंडपॉइंट्स, या अन्य उपयोगी जानकारी। इन्हें outputs अनुभाग के तहत निर्दिष्ट किया जाता है और अक्सर अन्य सेवाओं के लिए जानकारी को उजागर करने या तैनाती के बाद आसान पहुँच के लिए उपयोग किया जाता है।

¡outputs:
ApiEndpoint:
Description: "API Gateway endpoint URL"
Value:
Fn::Join:
- ""
- - "https://"
- Ref: ApiGatewayRestApi
- ".execute-api."
- Ref: AWS::Region
- ".amazonaws.com/"
- Ref: AWS::Stage

IAM भूमिकाएँ और अनुमतियाँ

IAM भूमिकाएँ और अनुमतियाँ आपके कार्यों और अन्य संसाधनों के लिए सुरक्षा क्रेडेंशियल और पहुँच अधिकारों को परिभाषित करती हैं। इन्हें आवश्यक अनुमतियों को निर्दिष्ट करने के लिए provider या व्यक्तिगत कार्य सेटिंग्स के अंतर्गत प्रबंधित किया जाता है।

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

पर्यावरण चर

चर आपको अपने कार्यों को कॉन्फ़िगरेशन सेटिंग्स और रहस्यों को बिना हार्डकोड किए पास करने की अनुमति देते हैं। इन्हें प्रदाता या व्यक्तिगत कार्यों के लिए environment अनुभाग के तहत परिभाषित किया जाता है।

provider:
environment:
STAGE: ${self:provider.stage}
functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Dependencies

Dependencies आपके फ़ंक्शंस के लिए आवश्यक बाहरी पुस्तकालयों और मॉड्यूलों का प्रबंधन करते हैं। इन्हें आमतौर पर npm या pip जैसे पैकेज प्रबंधकों के माध्यम से संभाला जाता है, और serverless-webpack जैसे उपकरणों या प्लगइन्स का उपयोग करके आपके डिप्लॉयमेंट पैकेज के साथ बंडल किया जाता है।

plugins:
- serverless-webpack

Hooks

Hooks आपको डिप्लॉयमेंट जीवनचक्र के विशिष्ट बिंदुओं पर कस्टम स्क्रिप्ट या कमांड चलाने की अनुमति देते हैं। उन्हें प्लगइन्स का उपयोग करके या serverless.yml के भीतर परिभाषित किया जाता है ताकि डिप्लॉयमेंट से पहले या बाद में क्रियाएँ की जा सकें।

custom:
hooks:
before:deploy:deploy: echo "Starting deployment..."

Tutorial

यह आधिकारिक ट्यूटोरियल का सारांश है from the docs:

एक AWS खाता बनाएं (Serverless.com AWS अवसंरचना में शुरू होता है)
serverless.com में एक खाता बनाएं
एक ऐप बनाएं:

# Create temp folder for the tutorial
mkdir /tmp/serverless-tutorial
cd /tmp/serverless-tutorial

# Install Serverless cli
npm install -g serverless

# Generate template
serverless #Choose first one (AWS / Node.js / HTTP API)
## Indicate a name like "Tutorial"
## Login/Register
## Create A New App
## Indicate a name like "tutorialapp)

यह एक app बनाना चाहिए था जिसका नाम tutorialapp है जिसे आप serverless.com में देख सकते हैं और एक फ़ोल्डर बनाना चाहिए था जिसका नाम Tutorial है जिसमें फ़ाइल handler.js है जिसमें कुछ JS कोड है जिसमें helloworld कोड है और फ़ाइल serverless.yml है जो उस फ़ंक्शन की घोषणा करती है:

exports.hello = async (event) => {
return {
statusCode: 200,
body: JSON.stringify({
message: "Go Serverless v4! Your function executed successfully!",
}),
};
};

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get

एक AWS प्रदाता बनाएं, डैशबोर्ड में जाकर https://app.serverless.com/<org name>/settings/providers?providerId=new&provider=aws।
serverless.com को AWS तक पहुंच देने के लिए यह एक क्लाउडफॉर्मेशन स्टैक चलाने के लिए कहेगा, इस कॉन्फ़िग फ़ाइल का उपयोग करते हुए (इस लेख के समय): https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml
यह टेम्पलेट SFRole-<ID> नामक एक भूमिका उत्पन्न करता है जिसमें arn:aws:iam::aws:policy/AdministratorAccess उस खाते पर है जिसमें एक ट्रस्ट आइडेंटिटी है जो Serverless.com AWS खाते को भूमिका तक पहुंचने की अनुमति देती है।

Yaml roleTemplate

```yaml Description: This stack creates an IAM role that can be used by Serverless Framework for use in deployments. Resources: SFRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: AWS: arn:aws:iam::486128539022:root Action: - sts:AssumeRole Condition: StringEquals: sts:ExternalId: !Sub 'ServerlessFramework-${OrgUid}' Path: / RoleName: !Ref RoleName ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess ReporterFunction: Type: Custom::ServerlessFrameworkReporter Properties: ServiceToken: 'arn:aws:lambda:us-east-1:486128539022:function:sp-providers-stack-reporter-custom-resource-prod-tmen2ec' OrgUid: !Ref OrgUid RoleArn: !GetAtt SFRole.Arn Alias: !Ref Alias Outputs: SFRoleArn: Description: 'ARN for the IAM Role used by Serverless Framework' Value: !GetAtt SFRole.Arn Parameters: OrgUid: Description: Serverless Framework Org Uid Type: String Alias: Description: Serverless Framework Provider Alias Type: String RoleName: Description: Serverless Framework Role Name Type: String ```

विश्वास संबंध

```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::486128539022:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ServerlessFramework-7bf7ddef-e1bf-43eb-a111-4d43e0894ccb" } } } ] } ```

ट्यूटोरियल createCustomer.js फ़ाइल बनाने के लिए कहता है, जो मूल रूप से एक नया API एंडपॉइंट बनाएगा जिसे नए JS फ़ाइल द्वारा संभाला जाएगा और serverless.yml फ़ाइल को संशोधित करने के लिए कहता है ताकि यह एक नया DynamoDB तालिका उत्पन्न करे, एक पर्यावरण चर परिभाषित करे, उस भूमिका को जो उत्पन्न लैंब्डा का उपयोग करेगी।

'use strict'
const AWS = require('aws-sdk')
module.exports.createCustomer = async (event) => {
const body = JSON.parse(Buffer.from(event.body, 'base64').toString())
const dynamoDb = new AWS.DynamoDB.DocumentClient()
const putParams = {
TableName: process.env.DYNAMODB_CUSTOMER_TABLE,
Item: {
primary_key: body.name,
email: body.email,
},
}
await dynamoDb.put(putParams).promise()
return {
statusCode: 201,
}
}

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x
environment:
DYNAMODB_CUSTOMER_TABLE: ${self:service}-customerTable-${sls:stage}
iam:
role:
statements:
- Effect: 'Allow'
Action:
- 'dynamodb:PutItem'
- 'dynamodb:Get*'
- 'dynamodb:Scan*'
- 'dynamodb:UpdateItem'
- 'dynamodb:DeleteItem'
Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-customerTable-${sls:stage}

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get
createCustomer:
handler: createCustomer.createCustomer
events:
- httpApi:
path: /
method: post

resources:
Resources:
CustomerTable:
Type: AWS::DynamoDB::Table
Properties:
AttributeDefinitions:
- AttributeName: primary_key
AttributeType: S
BillingMode: PAY_PER_REQUEST
KeySchema:
- AttributeName: primary_key
KeyType: HASH
TableName: ${self:service}-customerTable-${sls:stage}

इसे चलाते हुए डिप्लॉय करें serverless deploy
डिप्लॉयमेंट एक CloudFormation Stack के माध्यम से किया जाएगा
ध्यान दें कि lambdas API गेटवे के माध्यम से एक्सपोज़ होते हैं और सीधे URLs के माध्यम से नहीं
इसे टेस्ट करें
पिछले चरण में URLs प्रिंट की जाएंगी जहां आपके API एंडपॉइंट्स lambda फ़ंक्शंस को डिप्लॉय किया गया है

Serverless.com की सुरक्षा समीक्षा

गलत कॉन्फ़िगर किए गए IAM रोल और अनुमतियाँ

अत्यधिक अनुमति वाले IAM रोल क्लाउड संसाधनों तक अनधिकृत पहुंच प्रदान कर सकते हैं, जिससे डेटा उल्लंघन या संसाधन हेरफेर हो सकता है।

निवारण रणनीतियाँ

कम से कम विशेषाधिकार का सिद्धांत: प्रत्येक फ़ंक्शन को केवल आवश्यक अनुमतियाँ सौंपें।

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

अलग-अलग रोल का उपयोग करें: फ़ंक्शन आवश्यकताओं के आधार पर रोल को अलग करें।

असुरक्षित रहस्य और कॉन्फ़िगरेशन प्रबंधन

संवेदनशील जानकारी (जैसे, API कुंजी, डेटाबेस क्रेडेंशियल) को सीधे serverless.yml या कोड में स्टोर करने से एक्सपोज़र हो सकता है यदि रिपॉजिटरी से समझौता किया गया हो या यदि AWS तक पहुंच से समझौता किया गया हो क्योंकि ये lambdas कॉन्फ़िगरेशन से पढ़े जा सकते हैं।

निवारण रणनीतियाँ

पर्यावरण चर: रनटाइम पर रहस्यों को इंजेक्ट करें बिना हार्डकोडिंग के।

provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}

Secrets Manager एकीकरण: AWS Secrets Manager, Azure Key Vault, या HashiCorp Vault जैसी सेवाओं का उपयोग करें।
एन्क्रिप्टेड वेरिएबल्स: संवेदनशील डेटा के लिए Serverless Framework की एन्क्रिप्शन सुविधाओं का लाभ उठाएं।
एक्सेस नियंत्रण: भूमिकाओं के आधार पर रहस्यों तक पहुंच को प्रतिबंधित करें।
रहस्यों को लॉग करने से बचें: सुनिश्चित करें कि रहस्य लॉग या त्रुटि संदेशों में एक्सपोज़ नहीं होते हैं।

कमजोर कोड और निर्भरताएँ

पुरानी या असुरक्षित निर्भरताएँ कमजोरियों को पेश कर सकती हैं, जबकि गलत इनपुट हैंडलिंग कोड इंजेक्शन हमलों का कारण बन सकती है।

निवारण रणनीतियाँ

निर्भरता प्रबंधन: नियमित रूप से निर्भरताओं को अपडेट करें और कमजोरियों के लिए स्कैन करें।

plugins:
- serverless-webpack
- serverless-plugin-snyk

इनपुट मान्यता: सभी इनपुट की सख्त मान्यता और सफाई लागू करें।
कोड समीक्षाएँ: सुरक्षा दोषों की पहचान के लिए गहन समीक्षाएँ करें।
स्थैतिक विश्लेषण: कोडबेस में कमजोरियों का पता लगाने के लिए उपकरणों का उपयोग करें।

अपर्याप्त लॉगिंग और निगरानी

सही लॉगिंग और निगरानी के बिना, दुर्भावनापूर्ण गतिविधियाँ अनदेखी रह सकती हैं, जिससे घटना प्रतिक्रिया में देरी हो सकती है।

निवारण रणनीतियाँ

केंद्रीकृत लॉगिंग: AWS CloudWatch या Datadog जैसी सेवाओं का उपयोग करके लॉग को एकत्रित करें।

plugins:
- serverless-plugin-datadog

विस्तृत लॉगिंग सक्षम करें: संवेदनशील डेटा को एक्सपोज़ किए बिना आवश्यक जानकारी कैप्चर करें।
अलर्ट सेट करें: संदिग्ध गतिविधियों या विसंगतियों के लिए अलर्ट कॉन्फ़िगर करें।
नियमित निगरानी: संभावित सुरक्षा घटनाओं के लिए लॉग और मैट्रिक्स की निरंतर निगरानी करें।

असुरक्षित API गेटवे कॉन्फ़िगरेशन

खुले या गलत तरीके से सुरक्षित APIs का उपयोग अनधिकृत पहुंच, सेवा से इनकार (DoS) हमलों, या क्रॉस-साइट हमलों के लिए किया जा सकता है।

निवारण रणनीतियाँ

प्रमाणीकरण और प्राधिकरण: OAuth, API कुंजी, या JWT जैसे मजबूत तंत्र लागू करें।

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
authorizer: aws_iam

रेट लिमिटिंग और थ्रॉटलिंग: अनुरोध दरों को सीमित करके दुरुपयोग को रोकें।

provider:
apiGateway:
throttle:
burstLimit: 200
rateLimit: 100

सुरक्षित CORS कॉन्फ़िगरेशन: अनुमत मूल, विधियों, और हेडर को प्रतिबंधित करें।

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
cors:
origin: https://yourdomain.com
headers:
- Content-Type

वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें: दुर्भावनापूर्ण पैटर्न के लिए HTTP अनुरोधों को फ़िल्टर और मॉनिटर करें।

अपर्याप्त फ़ंक्शन अलगाव

साझा संसाधन और अपर्याप्त अलगाव विशेषाधिकार वृद्धि या फ़ंक्शनों के बीच अनपेक्षित इंटरैक्शन का कारण बन सकते हैं।

निवारण रणनीतियाँ

फ़ंक्शनों को अलग करें: स्वतंत्र संचालन सुनिश्चित करने के लिए विशिष्ट संसाधन और IAM रोल सौंपें।
संसाधन विभाजन: विभिन्न फ़ंक्शनों के लिए अलग डेटाबेस या स्टोरेज बकेट का उपयोग करें।
VPCs का उपयोग करें: नेटवर्क अलगाव को बढ़ाने के लिए वर्चुअल प्राइवेट क्लाउड के भीतर फ़ंक्शनों को तैनात करें।

provider:
vpc:
securityGroupIds:
- sg-xxxxxxxx
subnetIds:
- subnet-xxxxxx

फ़ंक्शन अनुमतियों को सीमित करें: सुनिश्चित करें कि फ़ंक्शन एक-दूसरे के संसाधनों तक पहुंच या हस्तक्षेप नहीं कर सकते जब तक कि स्पष्ट रूप से आवश्यक न हो।

अपर्याप्त डेटा सुरक्षा

आराम या ट्रांजिट में बिना एन्क्रिप्टेड डेटा को एक्सपोज़ किया जा सकता है, जिससे डेटा उल्लंघन या छेड़छाड़ हो सकती है।

निवारण रणनीतियाँ

आराम में डेटा एन्क्रिप्ट करें: क्लाउड सेवा एन्क्रिप्शन सुविधाओं का उपयोग करें।

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
SSESpecification:
SSEEnabled: true

ट्रांजिट में डेटा एन्क्रिप्ट करें: सभी डेटा ट्रांसमिशन के लिए HTTPS/TLS का उपयोग करें।
API संचार को सुरक्षित करें: एन्क्रिप्शन प्रोटोकॉल लागू करें और प्रमाणपत्रों को मान्य करें।
एन्क्रिप्शन कुंजियों का सुरक्षित प्रबंधन करें: प्रबंधित कुंजी सेवाओं का उपयोग करें और नियमित रूप से कुंजियों को घुमाएँ।

सही त्रुटि हैंडलिंग की कमी

विस्तृत त्रुटि संदेश बुनियादी ढांचे या कोडबेस के बारे में संवेदनशील जानकारी को लीक कर सकते हैं, जबकि अनहैंडल्ड अपवाद एप्लिकेशन क्रैश का कारण बन सकते हैं।

निवारण रणनीतियाँ

सामान्य त्रुटि संदेश: त्रुटि प्रतिक्रियाओं में आंतरिक विवरण को उजागर करने से बचें।

javascriptCopy code// Example in Node.js
exports.hello = async (event) => {
try {
// Function logic
} catch (error) {
console.error(error);
return {
statusCode: 500,
body: JSON.stringify({ message: 'Internal Server Error' }),
};
}
};

केंद्रीकृत त्रुटि हैंडलिंग: सभी फ़ंक्शनों में त्रुटियों को प्रबंधित और साफ़ करें।
त्रुटियों की निगरानी और लॉगिंग करें: अंत-उपयोगकर्ताओं को विवरण उजागर किए बिना त्रुटियों को ट्रैक और विश्लेषण करें।

असुरक्षित डिप्लॉयमेंट प्रथाएँ

एक्सपोज़्ड डिप्लॉयमेंट कॉन्फ़िगरेशन या CI/CD पाइपलाइनों तक अनधिकृत पहुंच दुर्भावनापूर्ण कोड डिप्लॉयमेंट या गलत कॉन्फ़िगरेशन का कारण बन सकती है।

निवारण रणनीतियाँ

सुरक्षित CI/CD पाइपलाइन्स: सख्त एक्सेस नियंत्रण, मल्टी-फैक्टर प्रमाणीकरण (MFA), और नियमित ऑडिट लागू करें।
कॉन्फ़िगरेशन को सुरक्षित रूप से स्टोर करें: डिप्लॉयमेंट फ़ाइलों को हार्डकोडेड रहस्यों और संवेदनशील डेटा से मुक्त रखें।
इन्फ्रास्ट्रक्चर कोड (IaC) सुरक्षा उपकरणों का उपयोग करें: सुरक्षा नीतियों को लागू करने के लिए Checkov या Terraform Sentinel जैसे उपकरणों का उपयोग करें।
अपरिवर्तनीय डिप्लॉयमेंट: अपरिवर्तनीय इन्फ्रास्ट्रक्चर प्रथाओं को अपनाकर डिप्लॉयमेंट के बाद अनधिकृत परिवर्तनों को रोकें।

प्लगइन्स और एक्सटेंशनों में कमजोरियाँ

अनवetted या दुर्भावनापूर्ण तृतीय-पक्ष प्लगइन्स का उपयोग आपके सर्वरलेस अनुप्रयोगों में कमजोरियाँ पेश कर सकता है।

निवारण रणनीतियाँ

प्लगइन्स की अच्छी तरह से जांच करें: एकीकरण से पहले प्लगइन्स की सुरक्षा का आकलन करें, प्रतिष्ठित स्रोतों से उन पर प्राथमिकता दें।
प्लगइन उपयोग को सीमित करें: हमले की सतह को कम करने के लिए केवल आवश्यक प्लगइन्स का उपयोग करें।
प्लगइन अपडेट की निगरानी करें: सुरक्षा पैच का लाभ उठाने के लिए प्लगइन्स को अपडेट रखें।
प्लगइन वातावरण को अलग करें: संभावित समझौतों को सीमित करने के लिए प्लगइन्स को अलग वातावरण में चलाएँ।

संवेदनशील एंडपॉइंट्स का एक्सपोज़र

सार्वजनिक रूप से सुलभ फ़ंक्शंस या अनियंत्रित APIs का उपयोग अनधिकृत संचालन के लिए किया जा सकता है।

निवारण रणनीतियाँ

फ़ंक्शन एक्सेस को प्रतिबंधित करें: विश्वसनीय स्रोतों तक पहुंच को सीमित करने के लिए VPCs, सुरक्षा समूहों, और फ़ायरवॉल नियमों का उपयोग करें।
मजबूत प्रमाणीकरण लागू करें: सुनिश्चित करें कि सभी एक्सपोज़ किए गए एंडपॉइंट्स को उचित प्रमाणीकरण और प्राधिकरण की आवश्यकता है।
API गेटवे का सुरक्षित उपयोग करें: सुरक्षा नीतियों को लागू करने के लिए API गेटवे को कॉन्फ़िगर करें, जिसमें इनपुट मान्यता और रेट लिमिटिंग शामिल हैं।
अप्रयुक्त एंडपॉइंट्स को बंद करें: नियमित रूप से समीक्षा करें और किसी भी एंडपॉइंट को बंद करें जो अब उपयोग में नहीं है।

टीम के सदस्यों और बाहरी सहयोगियों के लिए अत्यधिक अनुमतियाँ

टीम के सदस्यों और बाहरी सहयोगियों को अत्यधिक अनुमतियाँ देना अनधिकृत पहुंच, डेटा उल्लंघन, और संसाधनों के दुरुपयोग का कारण बन सकता है। यह जोखिम उन वातावरणों में बढ़ जाता है जहां कई व्यक्तियों के पास विभिन्न स्तरों की पहुंच होती है, जिससे हमले की सतह और अंदरूनी खतरों की संभावना बढ़ जाती है।

निवारण रणनीतियाँ

कम से कम विशेषाधिकार का सिद्धांत: सुनिश्चित करें कि टीम के सदस्यों और सहयोगियों के पास केवल उन कार्यों को करने के लिए आवश्यक अनुमतियाँ हों।

एक्सेस कुंजी और लाइसेंस कुंजी सुरक्षा

एक्सेस कुंजी और लाइसेंस कुंजी महत्वपूर्ण क्रेडेंशियल हैं जो Serverless Framework CLI के साथ इंटरैक्शन को प्रमाणित और अधिकृत करने के लिए उपयोग की जाती हैं।

लाइसेंस कुंजी: ये अद्वितीय पहचानकर्ता हैं जो Serverless Framework संस्करण 4 तक पहुंच को प्रमाणित करने के लिए आवश्यक हैं, जो CLI के माध्यम से लॉगिन की अनुमति देता है।
एक्सेस कुंजी: क्रेडेंशियल जो Serverless Framework CLI को Serverless Framework डैशबोर्ड के साथ प्रमाणित करने की अनुमति देती हैं। जब serverless cli के साथ लॉगिन किया जाता है, तो एक एक्सेस कुंजी जनरेट और लैपटॉप में स्टोर की जाएगी। आप इसे SERVERLESS_ACCESS_KEY नामक पर्यावरण चर के रूप में भी सेट कर सकते हैं।

सुरक्षा जोखिम

कोड रिपॉजिटरी के माध्यम से एक्सपोज़र:

एक्सेस कुंजी और लाइसेंस कुंजी को हार्डकोडिंग या गलती से संस्करण नियंत्रण प्रणालियों में कमिट करने से अनधिकृत पहुंच हो सकती है।

असुरक्षित भंडारण:

पर्यावरण चर या कॉन्फ़िगरेशन फ़ाइलों में बिना उचित एन्क्रिप्शन के कुंजी को प्लेनटेक्स्ट में स्टोर करने से लीक होने की संभावना बढ़ जाती है।

गलत वितरण:

असुरक्षित चैनलों (जैसे, ईमेल, चैट) के माध्यम से कुंजी साझा करने से दुर्भावनापूर्ण तत्वों द्वारा इंटरसेप्शन हो सकता है।

घुमाव की कमी:

कुंजी को नियमित रूप से घुमाने में विफलता यदि कुंजी से समझौता किया गया हो तो एक्सपोज़र अवधि को बढ़ा देती है।

अत्यधिक अनुमतियाँ:

व्यापक अनुमतियों वाली कुंजी का उपयोग कई संसाधनों में अनधिकृत क्रियाएँ करने के लिए किया जा सकता है।

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousOkta Hardening NextSupabase Security

Last updated 9 hours ago