GCP - Unauthenticated Enum & Access
Otkrivanje javnih resursa
Jedan način da se otkriju javni resursi u oblaku koji pripadaju određenoj kompaniji je pretraživanje njihovih veb stranica. Alati poput CloudScraper će pretraživati veb i tražiti linkove ka javnim resursima u oblaku (u ovom slučaju, ovaj alat traži ['amazonaws.com', 'digitaloceanspaces.com', 'windows.net', 'storage.googleapis.com', 'aliyuncs.com'])
Imajte na umu da se drugi resursi u oblaku mogu pretraživati i da se neki resursi ponekad kriju iza poddomena koji ih usmeravaju putem CNAME registra.
Brute-Force javnih resursa
Bucketi, Firebase, Aplikacije i Cloud funkcije
https://github.com/initstring/cloud_enum: Ovaj alat za GCP vrši Brute-Force napad na Buckete, Firebase Realtime baze podataka, Google App Engine sajtove i Cloud funkcije
https://github.com/0xsha/CloudBrute: Ovaj alat za GCP vrši Brute-Force napad na Buckete i Aplikacije.
Last updated