AWS - API Gateway Unauthenticated Enum
API Invoke bypass
Attack Vectors for APIs Using AWS API Gateway Lambda Authorizers - Alexandre & Leonardo의 발표에 따르면, Lambda Authorizers는 API 엔드포인트를 호출할 수 있는 권한을 부여하기 위해 IAM 구문을 사용하여 구성할 수 있습니다. 이는 문서에서 가져온 내용입니다:
이 엔드포인트를 호출하기 위한 권한을 부여하는 방법의 문제는 "*"가 "모든 것"을 의미하며 더 이상 정규 표현식 구문이 지원되지 않기 때문입니다.
몇 가지 예시:
각 사용자에게
/dashboard/user/{username}
에 대한 접근을 허용하기 위해arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/*
와 같은 규칙을 사용하면, 예를 들어/admin/dashboard/createAdmin
과 같은 다른 경로에 대한 접근도 허용됩니다.
"*"는 슬래시로 확장되는 것을 멈추지 않음을 주의하세요, 따라서 예를 들어 api-id에서 "*"를 사용하면 최종 정규 표현식이 여전히 유효한 한 "모든 단계" 또는 "모든 메서드"를 나타낼 수 있습니다.
그래서 arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/*
는 예를 들어 /prod/GET/dashboard/admin
경로에 대한 테스트 단계에 대한 POST 요청을 검증할 수 있습니다.
항상 허용하고자 하는 접근을 명확히 하고, 부여된 권한으로 다른 시나리오가 가능한지 확인해야 합니다.
자세한 정보는 문서 외에도 이 공식 aws github에서 권한 부여자를 구현하는 코드를 찾을 수 있습니다.
IAM 정책 주입
같은 강연에서 코드가 사용자 입력을 사용하여 IAM 정책을 생성하는 경우, 와일드카드(및 "." 또는 특정 문자열과 같은 다른 것들)가 포함될 수 있으며, 이는 제한을 우회하기 위한 목적입니다.
공개 URL 템플릿
Get Account ID from public API Gateway URL
S3 버킷, 데이터 교환 및 Lambda URL 게이트웨이와 마찬가지로, 공개 API Gateway URL에서 aws:ResourceAccount
정책 조건 키를 악용하여 계정의 계정 ID를 찾는 것이 가능합니다. 이는 정책의 aws:ResourceAccount
섹션에서 와일드카드를 악용하여 한 번에 한 문자씩 계정 ID를 찾음으로써 이루어집니다.
이 기술은 태그 키를 알고 있다면 태그 값을 얻을 수 있게 해줍니다(기본적으로 흥미로운 것들이 있습니다).
자세한 정보는 원본 연구와 이 악용을 자동화하는 도구 conditional-love에서 확인할 수 있습니다.
Last updated