Vercel Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Vercel में एक Team वह पूरी environment है जो एक ग्राहक से संबंधित है और एक project एक application है।
Vercel की हार्डनिंग समीक्षा के लिए, आपको Viewer role permission वाले उपयोगकर्ता के लिए पूछना होगा या कम से कम Project viewer permission over the projects की आवश्यकता होगी (यदि आपको केवल परियोजनाओं की जांच करने की आवश्यकता है और टीम कॉन्फ़िगरेशन की नहीं)।
Purpose: परियोजना के नाम, ढांचे और निर्माण कॉन्फ़िगरेशन जैसे मौलिक परियोजना सेटिंग्स का प्रबंधन करें।
Transfer
Misconfiguration: परियोजना को दूसरी टीम में स्थानांतरित करने की अनुमति देता है
Risk: एक हमलावर परियोजना चुरा सकता है
Delete Project
Misconfiguration: परियोजना को हटाने की अनुमति देता है
Risk: परियोजना को हटाना
Purpose: कस्टम डोमेन, DNS सेटिंग्स और SSL कॉन्फ़िगरेशन का प्रबंधन करें।
DNS Configuration Errors
Misconfiguration: गलत DNS रिकॉर्ड (A, CNAME) जो दुर्भावनापूर्ण सर्वरों की ओर इशारा करते हैं।
Risk: डोमेन हाईजैकिंग, ट्रैफ़िक इंटरसेप्शन, और फ़िशिंग हमले।
SSL/TLS Certificate Management
Misconfiguration: कमजोर या समाप्त SSL/TLS प्रमाणपत्रों का उपयोग करना।
Risk: मैन-इन-द-मिडल (MITM) हमलों के प्रति संवेदनशील, डेटा की अखंडता और गोपनीयता को खतरे में डालना।
DNSSEC Implementation
Misconfiguration: DNSSEC को सक्षम करने में विफलता या गलत DNSSEC सेटिंग्स।
Risk: DNS स्पूफिंग और कैश पॉइज़निंग हमलों के प्रति बढ़ी हुई संवेदनशीलता।
Environment used per domain
Misconfiguration: उत्पादन में डोमेन द्वारा उपयोग किए जाने वाले वातावरण को बदलना।
Risk: संभावित रहस्यों या कार्यक्षमताओं को उजागर करना जो उत्पादन में उपलब्ध नहीं होनी चाहिए।
Purpose: विशिष्ट सेटिंग्स और वेरिएबल के साथ विभिन्न वातावरण (Development, Preview, Production) को परिभाषित करें।
Environment Isolation
Misconfiguration: वातावरणों के बीच पर्यावरण चर साझा करना।
Risk: विकास या पूर्वावलोकन वातावरण में उत्पादन रहस्यों का लीक होना, जिससे जोखिम बढ़ता है।
Access to Sensitive Environments
Misconfiguration: उत्पादन वातावरणों तक व्यापक पहुंच की अनुमति देना।
Risk: लाइव अनुप्रयोगों में अनधिकृत परिवर्तन या पहुंच, संभावित डाउनटाइम या डेटा उल्लंघनों की संभावना।
Purpose: अनुप्रयोग द्वारा उपयोग किए जाने वाले वातावरण-विशिष्ट वेरिएबल और रहस्यों का प्रबंधन करें।
Exposing Sensitive Variables
Misconfiguration: संवेदनशील वेरिएबल को NEXT_PUBLIC_ के साथ पूर्ववर्ती करना, जिससे वे क्लाइंट साइड पर उपलब्ध हो जाते हैं।
Risk: API कुंजी, डेटाबेस क्रेडेंशियल, या अन्य संवेदनशील डेटा का सार्वजनिक रूप से उजागर होना, जिससे डेटा उल्लंघन हो सकता है।
Sensitive disabled
Misconfiguration: यदि अक्षम (डिफ़ॉल्ट) है तो उत्पन्न रहस्यों के मानों को पढ़ना संभव है।
Risk: संवेदनशील जानकारी के अनधिकृत पहुंच या आकस्मिक उजागर होने की संभावना बढ़ जाती है।
Shared Environment Variables
Misconfiguration: ये टीम स्तर पर सेट किए गए पर्यावरण चर हैं और इनमें संवेदनशील जानकारी भी हो सकती है।
Risk: संवेदनशील जानकारी के अनधिकृत पहुंच या आकस्मिक उजागर होने की संभावना बढ़ जाती है।
Purpose: Git रिपॉजिटरी एकीकरण, शाखा सुरक्षा, और तैनाती ट्रिगर्स को कॉन्फ़िगर करें।
Ignored Build Step (TODO)
Misconfiguration: ऐसा लगता है कि यह विकल्प एक बैश स्क्रिप्ट/कमांड को कॉन्फ़िगर करने की अनुमति देता है जो तब निष्पादित होगा जब एक नया कमिट Github में धकेला जाएगा, जो RCE की अनुमति दे सकता है।
Risk: TBD
Purpose: परियोजना कार्यक्षमताओं को बढ़ाने के लिए तृतीय-पक्ष सेवाओं और उपकरणों को कनेक्ट करें।
Insecure Third-Party Integrations
Misconfiguration: अविश्वसनीय या असुरक्षित तृतीय-पक्ष सेवाओं के साथ एकीकरण।
Risk: कमजोरियों, डेटा लीक, या समझौता किए गए एकीकरणों के माध्यम से बैकडोर का परिचय।
Over-Permissioned Integrations
Misconfiguration: एकीकृत सेवाओं को अत्यधिक अनुमतियाँ देना।
Risk: परियोजना संसाधनों तक अनधिकृत पहुंच, डेटा हेरफेर, या सेवा में व्यवधान।
Lack of Integration Monitoring
Misconfiguration: तृतीय-पक्ष एकीकरणों की निगरानी और ऑडिट करने में विफलता।
Risk: समझौता किए गए एकीकरणों का विलंबित पता लगाना, सुरक्षा उल्लंघनों के संभावित प्रभाव को बढ़ाना।
Purpose: विभिन्न सुरक्षा तंत्रों के माध्यम से तैनातियों को सुरक्षित करें, यह नियंत्रित करें कि कौन आपके वातावरणों तक पहुंच सकता है और तैनात कर सकता है।
Vercel Authentication
Misconfiguration: प्रमाणीकरण को अक्षम करना या टीम के सदस्यों की जांच को लागू नहीं करना।
Risk: अनधिकृत उपयोगकर्ता तैनातियों तक पहुंच सकते हैं, जिससे डेटा उल्लंघन या अनुप्रयोग का दुरुपयोग हो सकता है।
Protection Bypass for Automation
Misconfiguration: बायपास रहस्य को सार्वजनिक रूप से उजागर करना या कमजोर रहस्यों का उपयोग करना।
Risk: हमलावर तैनाती सुरक्षा को बायपास कर सकते हैं, सुरक्षित तैनातियों तक पहुंच और हेरफेर कर सकते हैं।
Shareable Links
Misconfiguration: लिंक को मनमाने तरीके से साझा करना या पुराने लिंक को रद्द करने में विफलता।
Risk: सुरक्षित तैनातियों तक अनधिकृत पहुंच, प्रमाणीकरण और IP प्रतिबंधों को बायपास करना।
OPTIONS Allowlist
Misconfiguration: अत्यधिक व्यापक पथों या संवेदनशील एंडपॉइंट्स को अनुमति सूची में शामिल करना।
Risk: हमलावर अनसुरक्षित पथों का शोषण कर सकते हैं ताकि अनधिकृत क्रियाएँ की जा सकें या सुरक्षा जांचों को बायपास किया जा सके।
Password Protection
Misconfiguration: कमजोर पासवर्ड का उपयोग करना या उन्हें असुरक्षित रूप से साझा करना।
Risk: यदि पासवर्ड का अनुमान लगाया जाता है या लीक हो जाता है तो तैनातियों तक अनधिकृत पहुंच।
Note: Advanced Deployment Protection के हिस्से के रूप में Pro योजना पर उपलब्ध है, इसके लिए अतिरिक्त $150/माह।
Deployment Protection Exceptions
Misconfiguration: उत्पादन या संवेदनशील डोमेन को अपवाद सूची में अनजाने में जोड़ना।
Risk: महत्वपूर्ण तैनातियों का सार्वजनिक रूप से उजागर होना, जिससे डेटा लीक या अनधिकृत पहुंच हो सकती है।
Note: Advanced Deployment Protection के हिस्से के रूप में Pro योजना पर उपलब्ध है, इसके लिए अतिरिक्त $150/माह।
Trusted IPs
Misconfiguration: IP पते या CIDR रेंज को गलत तरीके से निर्दिष्ट करना।
Risk: वैध उपयोगकर्ताओं को अवरुद्ध करना या अनधिकृत IPs को पहुंच प्राप्त करना।
Note: Enterprise योजना पर उपलब्ध है।
Purpose: सर्वर रहित कार्यों को कॉन्फ़िगर करें, जिसमें रनटाइम सेटिंग्स, मेमोरी आवंटन, और सुरक्षा नीतियाँ शामिल हैं।
Nothing
Purpose: प्रदर्शन को अनुकूलित करने और डेटा संग्रहण को नियंत्रित करने के लिए कैशिंग रणनीतियों और सेटिंग्स का प्रबंधन करें।
Purge Cache
Misconfiguration: यह सभी कैश को हटाने की अनुमति देता है।
Risk: अनधिकृत उपयोगकर्ता कैश को हटा सकते हैं जिससे संभावित DoS हो सकता है।
Purpose: निर्दिष्ट अंतराल पर स्वचालित कार्यों और स्क्रिप्टों को शेड्यूल करें।
Disable Cron Job
Misconfiguration: यह कोड के अंदर घोषित क्रोन नौकरियों को अक्षम करने की अनुमति देता है।
Risk: सेवा में संभावित विघटन (इस पर निर्भर करता है कि क्रोन नौकरियों का क्या मतलब था)
Purpose: निगरानी और ऑडिटिंग के लिए अनुप्रयोग लॉग को कैप्चर और स्टोर करने के लिए बाहरी लॉगिंग सेवाओं को कॉन्फ़िगर करें।
Nothing (managed from teams settings)
Purpose: परियोजना पहुंच, स्रोत सुरक्षा, और अधिक को प्रभावित करने वाली विभिन्न सुरक्षा-संबंधित सेटिंग्स के लिए केंद्रीय हब।
Build Logs and Source Protection
Misconfiguration: सुरक्षा को अक्षम करना या /logs और /src पथों को सार्वजनिक रूप से उजागर करना।
Risk: निर्माण लॉग और स्रोत कोड तक अनधिकृत पहुंच, जानकारी लीक और संभावित कमजोरियों का शोषण।
Git Fork Protection
Misconfiguration: उचित समीक्षाओं के बिना अनधिकृत पुल अनुरोधों की अनुमति देना।
Risk: दुर्भावनापूर्ण कोड को कोडबेस में विलय किया जा सकता है, जिससे कमजोरियों या बैकडोर का परिचय होता है।
Secure Backend Access with OIDC Federation
Misconfiguration: OIDC पैरामीटर को गलत तरीके से सेट करना या असुरक्षित जारीकर्ता URL का उपयोग करना।
Risk: दोषपूर्ण प्रमाणीकरण प्रवाह के माध्यम से बैकएंड सेवाओं तक अनधिकृत पहुंच।
Deployment Retention Policy
Misconfiguration: बहुत छोटे (तैनाती इतिहास खोना) या बहुत लंबे (अनावश्यक डेटा संरक्षण) के लिए संरक्षण अवधि निर्धारित करना।
Risk: जब आवश्यकता हो तो रोलबैक करने में असमर्थता या पुराने तैनातियों से डेटा के उजागर होने का बढ़ा हुआ जोखिम।
Recently Deleted Deployments
Misconfiguration: हटाई गई तैनातियों की निगरानी नहीं करना या केवल स्वचालित हटाने पर निर्भर रहना।
Risk: महत्वपूर्ण तैनाती इतिहास का नुकसान, ऑडिट और रोलबैक में बाधा।
Purpose: कॉन्फ़िगरेशन को ठीक करने और सुरक्षा बढ़ाने के लिए अतिरिक्त परियोजना सेटिंग्स तक पहुंच।
Directory Listing
Misconfiguration: निर्देशिका सूचीकरण को सक्षम करना उपयोगकर्ताओं को बिना अनुक्रमणिका फ़ाइल के निर्देशिका सामग्री देखने की अनुमति देता है।
Risk: संवेदनशील फ़ाइलों, अनुप्रयोग संरचना, और हमलों के लिए संभावित प्रवेश बिंदुओं का उजागर होना।
Enable Attack Challenge Mode
Misconfiguration: इसे सक्षम करना DoS के खिलाफ वेब अनुप्रयोगों की रक्षा को बेहतर बनाता है लेकिन उपयोगिता की कीमत पर
Risk: संभावित उपयोगकर्ता अनुभव समस्याएँ।
Misconfiguration: ट्रैफ़िक को अनब्लॉक/ब्लॉक करने की अनुमति देता है
Risk: दुर्भावनापूर्ण ट्रैफ़िक की अनुमति देने या बेनिग्न ट्रैफ़िक को अवरुद्ध करने की संभावित DoS
Misconfiguration: अनुप्रयोग के पूरे स्रोत कोड को पढ़ने के लिए पहुंच की अनुमति देता है
Risk: संवेदनशील जानकारी का संभावित उजागर होना
Misconfiguration: यह सुरक्षा सुनिश्चित करता है कि क्लाइंट और सर्वर अनुप्रयोग हमेशा एक ही संस्करण का उपयोग कर रहे हैं ताकि कोई असंगति न हो जहां क्लाइंट सर्वर से अलग संस्करण का उपयोग करता है और इसलिए वे एक-दूसरे को समझ नहीं पाते।
Risk: इसे अक्षम करना (यदि सक्षम है) भविष्य में नई तैनातियों में DoS समस्याएँ पैदा कर सकता है
Transfer
Misconfiguration: सभी परियोजनाओं को दूसरी टीम में स्थानांतरित करने की अनुमति देता है
Risk: एक हमलावर परियोजनाओं को चुरा सकता है
Delete Project
Misconfiguration: सभी परियोजनाओं के साथ टीम को हटाने की अनुमति देता है
Risk: परियोजनाओं को हटाना
Speed Insights Cost Limit
Misconfiguration: एक हमलावर इस संख्या को बढ़ा सकता है
Risk: लागत में वृद्धि
Add members
Misconfiguration: एक हमलावर एक ऐसा खाता आमंत्रित करके स्थायीता बनाए रख सकता है जिसे वह नियंत्रित करता है
Risk: हमलावर की स्थिरता
Roles
Misconfiguration: उन लोगों को बहुत अधिक अनुमतियाँ देना जिन्हें इसकी आवश्यकता नहीं है, Vercel कॉन्फ़िगरेशन के जोखिम को बढ़ाता है। सभी संभावित भूमिकाओं की जांच करें https://vercel.com/docs/accounts/team-members-and-roles/access-roles
Risk: Vercel टीम की एक्सपोजर बढ़ाना
Vercel में एक Access Group परियोजनाओं और टीम के सदस्यों का एक संग्रह है जिसमें पूर्वनिर्धारित भूमिका असाइनमेंट होते हैं, जो कई परियोजनाओं में केंद्रीकृत और सुव्यवस्थित पहुंच प्रबंधन को सक्षम बनाते हैं।
Potential Misconfigurations:
Over-Permissioning Members: आवश्यकताओं से अधिक अनुमतियों के साथ भूमिकाएँ असाइन करना, अनधिकृत पहुंच या क्रियाओं की अनुमति देना।
Improper Role Assignments: भूमिकाएँ गलत तरीके से असाइन करना जो टीम के सदस्यों की जिम्मेदारियों के साथ मेल नहीं खाती, जिससे विशेषाधिकार वृद्धि होती है।
Lack of Project Segregation: संवेदनशील परियोजनाओं को अलग करने में विफलता, जिससे अपेक्षित से अधिक व्यापक पहुंच की अनुमति मिलती है।
Insufficient Group Management: एक्सेस समूहों की नियमित रूप से समीक्षा या अद्यतन नहीं करना, जिससे पुरानी या अनुपयुक्त पहुंच अनुमतियाँ होती हैं।
Inconsistent Role Definitions: विभिन्न एक्सेस समूहों में असंगत या अस्पष्ट भूमिका परिभाषाओं का उपयोग करना, जिससे भ्रम और सुरक्षा अंतराल होते हैं।
Log Drains to third parties:
Misconfiguration: एक हमलावर लॉग चुराने के लिए एक लॉग ड्रेन कॉन्फ़िगर कर सकता है
Risk: आंशिक स्थिरता
Team Email Domain: जब कॉन्फ़िगर किया जाता है, तो यह सेटिंग स्वचालित रूप से निर्दिष्ट डोमेन (जैसे, mydomain.com) के साथ समाप्त होने वाले ईमेल पते वाले Vercel व्यक्तिगत खातों को आपकी टीम में शामिल होने के लिए आमंत्रित करती है।
Misconfiguration:
गलत ईमेल डोमेन या टीम ईमेल डोमेन सेटिंग में गलत स्पेलिंग निर्दिष्ट करना।
एक सामान्य ईमेल डोमेन (जैसे, gmail.com, hotmail.com) का उपयोग करना बजाय कंपनी-विशिष्ट डोमेन के।
Risks:
Unauthorized Access: अनपेक्षित डोमेन से ईमेल पते वाले उपयोगकर्ताओं को आपकी टीम में शामिल होने के लिए आमंत्रण मिल सकता है।
Data Exposure: अनधिकृत व्यक्तियों के लिए संवेदनशील परियोजना जानकारी का संभावित उजागर होना।
Protected Git Scopes: आपको अपनी टीम के लिए 5 Git स्कोप जोड़ने की अनुमति देता है ताकि अन्य Vercel टीमों को सुरक्षित स्कोप से रिपॉजिटरी तैनात करने से रोका जा सके। कई टीमें समान स्कोप निर्दिष्ट कर सकती हैं, जिससे दोनों टीमों को पहुंच मिलती है।
Misconfiguration: सुरक्षित सूची में महत्वपूर्ण Git स्कोप जोड़ने में विफलता।
Risks:
Unauthorized Deployments: अन्य टीमें आपकी संगठन की Git स्कोप से बिना अनुमति के रिपॉजिटरी तैनात कर सकती हैं।
Intellectual Property Exposure: स्वामित्व कोड को आपकी टीम के बाहर तैनात और एक्सेस किया जा सकता है।
Environment Variable Policies: टीम के पर्यावरण चर के निर्माण और संपादन के लिए नीतियों को लागू करता है। विशेष रूप से, आप यह लागू कर सकते हैं कि सभी पर्यावरण चर को Sensitive Environment Variables के रूप में बनाया जाए, जिन्हें केवल Vercel के तैनाती प्रणाली द्वारा डिक्रिप्ट किया जा सकता है।
Misconfiguration: संवेदनशील पर्यावरण चर के प्रवर्तन को अक्षम रखना।
Risks:
Exposure of Secrets: पर्यावरण चर को अनधिकृत टीम के सदस्यों द्वारा देखा या संपादित किया जा सकता है।
Data Breach: API कुंजी और क्रेडेंशियल जैसी संवेदनशील जानकारी लीक हो सकती है।
Audit Log: टीम की गतिविधियों का निर्यात प्रदान करता है जो पिछले 90 दिनों तक हो सकता है। ऑडिट लॉग टीम के सदस्यों द्वारा किए गए कार्यों की निगरानी और ट्रैकिंग में मदद करते हैं।
Misconfiguration: अनधिकृत टीम के सदस्यों को ऑडिट लॉग तक पहुंच देना।
Risks:
Privacy Violations: संवेदनशील उपयोगकर्ता गतिविधियों और डेटा का उजागर होना।
Tampering with Logs: दुर्भावनापूर्ण अभिनेता लॉग को बदल या हटा सकते हैं ताकि वे अपने निशान छिपा सकें।
SAML Single Sign-On: आपकी टीम के लिए SAML प्रमाणीकरण और निर्देशिका समन्वय को अनुकूलित करने की अनुमति देता है, केंद्रीकृत प्रमाणीकरण और उपयोगकर्ता प्रबंधन के लिए एक पहचान प्रदाता (IdP) के साथ एकीकरण सक्षम करता है।
Misconfiguration: एक हमलावर SAML पैरामीटर जैसे एंटिटी आईडी, SSO URL, या प्रमाणपत्र फिंगरप्रिंट सेटअप में बैकडोर कर सकता है।
Risk: स्थिरता बनाए रखना
IP Address Visibility: नियंत्रित करता है कि क्या IP पते, जिन्हें कुछ डेटा संरक्षण कानूनों के तहत व्यक्तिगत जानकारी माना जा सकता है, निगरानी प्रश्नों और लॉग ड्रेनों में प्रदर्शित होते हैं।
Misconfiguration: आवश्यकता के बिना IP पते की दृश्यता को सक्षम रखना।
Risks:
Privacy Violations: डेटा संरक्षण नियमों जैसे GDPR का अनुपालन न करना।
Legal Repercussions: व्यक्तिगत डेटा के गलत प्रबंधन के लिए संभावित जुर्माना और दंड।
IP Blocking: IP पते और CIDR रेंजों को कॉन्फ़िगर करने की अनुमति देता है जिनसे Vercel को अनुरोधों को अवरुद्ध करना चाहिए। अवरुद्ध अनुरोध आपके बिलिंग में योगदान नहीं करते हैं।
Misconfiguration: एक हमलावर द्वारा दुर्भावनापूर्ण ट्रैफ़िक की अनुमति देने या वैध ट्रैफ़िक को अवरुद्ध करने के लिए दुरुपयोग किया जा सकता है।
Risks:
Service Denial to Legitimate Users: वैध उपयोगकर्ताओं या भागीदारों के लिए पहुंच को अवरुद्ध करना।
Operational Disruptions: कुछ क्षेत्रों या ग्राहकों के लिए सेवा उपलब्धता का नुकसान।
Vercel Secure Compute Vercel Functions और बैकएंड वातावरण (जैसे, डेटाबेस) के बीच सुरक्षित, निजी कनेक्शन को सक्षम करता है, समर्पित IP पते के साथ अलग नेटवर्क स्थापित करके। यह बैकएंड सेवाओं को सार्वजनिक रूप से उजागर करने की आवश्यकता को समाप्त करता है, सुरक्षा, अनुपालन, और गोपनीयता को बढ़ाता है।
Incorrect AWS Region Selection
Misconfiguration: Secure Compute नेटवर्क के लिए एक AWS क्षेत्र का चयन करना जो बैकएंड सेवाओं के क्षेत्र से मेल नहीं खाता।
Risk: बढ़ी हुई लेटेंसी, संभावित डेटा निवास अनुपालन मुद्दे, और प्रदर्शन में कमी।
Overlapping CIDR Blocks
Misconfiguration: CIDR ब्लॉकों का चयन करना जो मौजूदा VPCs या अन्य नेटवर्क के साथ ओवरलैप करते हैं।
Risk: नेटवर्क संघर्ष जो विफल कनेक्शन, अनधिकृत पहुंच, या नेटवर्क के बीच डेटा लीक का कारण बनता है।
Improper VPC Peering Configuration
Misconfiguration: VPC पीयरिंग को गलत तरीके से सेट करना (जैसे, गलत VPC IDs, अधूरी रूट टेबल अपडेट)।
Risk: बैकएंड अवसंरचना तक अनधिकृत पहुंच, सुरक्षित कनेक्शनों में विफलता, और संभावित डेटा उल्लंघन।
Excessive Project Assignments
Misconfiguration: उचित अलगाव के बिना एक Secure Compute नेटवर्क को कई परियोजनाओं को असाइन करना।
Risk: साझा IP का उजागर होना हमले की सतह को बढ़ाता है, संभावित रूप से समझौता किए गए परियोजनाओं को दूसरों को प्रभावित करने की अनुमति देता है।
Inadequate IP Address Management
Misconfiguration: समर्पित IP पते का उचित प्रबंधन या रोटेट करने में विफलता।
Risk: IP स्पूफिंग, ट्रैकिंग कमजोरियों, और संभावित ब्लैकलिस्टिंग यदि IPs दुर्भावनापूर्ण गतिविधियों से जुड़े हैं।
Including Build Containers Unnecessarily
Misconfiguration: जब बैकएंड पहुंच की आवश्यकता नहीं होती है, तो Secure Compute नेटवर्क में निर्माण कंटेनरों को जोड़ना।
Risk: हमले की सतह का विस्तार, प्रावधान में देरी, और नेटवर्क संसाधनों की अनावश्यक खपत।
Failure to Securely Handle Bypass Secrets
Misconfiguration: तैनाती सुरक्षा को बायपास करने के लिए उपयोग किए जाने वाले रहस्यों को उजागर करना या गलत तरीके से संभालना।
Risk: सुरक्षित तैनातियों तक अनधिकृत पहुंच, हमलावरों को दुर्भावनापूर्ण कोड को हेरफेर या तैनात करने की अनुमति देना।
Ignoring Region Failover Configurations
Misconfiguration: निष्क्रिय फेलओवर क्षेत्रों को सेट करने में विफलता या फेलओवर सेटिंग्स को गलत तरीके से कॉन्फ़िगर करना।
Risk: प्राथमिक क्षेत्र की आउटेज के दौरान सेवा डाउनटाइम, उपलब्धता में कमी और संभावित डेटा असंगति।
Exceeding VPC Peering Connection Limits
Misconfiguration: अनुमत सीमा से अधिक VPC पीयरिंग कनेक्शन स्थापित करने का प्रयास करना (जैसे, 50 कनेक्शनों से अधिक)।
Risk: आवश्यक बैकएंड सेवाओं को सुरक्षित रूप से कनेक्ट करने में असमर्थता, तैनाती विफलताओं और परिचालन व्यवधानों का कारण बनना।
Insecure Network Settings
Misconfiguration: कमजोर फ़ायरवॉल नियम, एन्क्रिप्शन की कमी, या Secure Compute नेटवर्क के भीतर गलत नेटवर्क विभाजन।
Risk: डेटा इंटरसेप्शन, बैकएंड सेवाओं तक अनधिकृत पहुंच, और हमलों के प्रति बढ़ी हुई संवेदनशीलता।
Purpose: सभी परियोजनाओं द्वारा उपयोग किए जाने वाले वातावरण-विशिष्ट वेरिएबल और रहस्यों का प्रबंधन करें।
Exposing Sensitive Variables
Misconfiguration: संवेदनशील वेरिएबल को NEXT_PUBLIC_ के साथ पूर्ववर्ती करना, जिससे वे क्लाइंट साइड पर उपलब्ध हो जाते हैं।
Risk: API कुंजी, डेटाबेस क्रेडेंशियल, या अन्य संवेदनशील डेटा का सार्वजनिक रूप से उजागर होना, जिससे डेटा उल्लंघन हो सकता है।
Sensitive disabled
Misconfiguration: यदि अक्षम (डिफ़ॉल्ट) है तो उत्पन्न रहस्यों के मानों को पढ़ना संभव है।
Risk: संवेदनशील जानकारी के अनधिकृत पहुंच या आकस्मिक उजागर होने की संभावना बढ़ जाती है।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
