Serverless.com Security

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Organization

Shirika ni kitengo cha juu zaidi ndani ya mfumo wa Serverless. Kinawakilisha kikundi cha pamoja, kama kampuni, idara, au kitengo chochote kikubwa, ambacho kinajumuisha miradi, timu, na programu nyingi.

Team

Timu ni watumiaji wenye ufikiaji ndani ya shirika. Timu husaidia katika kuandaa wanachama kulingana na majukumu. Washiriki wanaweza kuona na kupeleka programu zilizopo, wakati Wasimamizi wanaweza kuunda programu mpya na kusimamia mipangilio ya shirika.

Application

Programu ni kundi la kimantiki la huduma zinazohusiana ndani ya Shirika. Inawakilisha programu kamili iliyoundwa na huduma nyingi za serverless zinazofanya kazi pamoja ili kutoa kazi inayofanana.

Services

Huduma ni kipengele cha msingi cha programu ya Serverless. Inawakilisha mradi wako mzima wa serverless, ikijumuisha kazi zote, mipangilio, na rasilimali zinazohitajika. Kawaida inafafanuliwa katika faili ya serverless.yml, huduma inajumuisha metadata kama jina la huduma, mipangilio ya mtoa huduma, kazi, matukio, rasilimali, plugins, na vigezo vya kawaida.

service: my-service
provider:
name: aws
runtime: nodejs14.x
functions:
hello:
handler: handler.hello

Function

A Function inawakilisha kazi moja isiyo na seva, kama kazi ya AWS Lambda. Inajumuisha msimbo unaotekelezwa kama jibu kwa matukio.

Imefafanuliwa chini ya sehemu ya functions katika serverless.yml, ikitaja mpangilio, muda wa utekelezaji, matukio, vigezo vya mazingira, na mipangilio mingine.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get

Event

Matukio ni vichocheo vinavyosababisha kazi zako zisizo na seva. Vinabainisha jinsi na lini kazi inapaswa kutekelezwa.

Aina za matukio za kawaida ni pamoja na maombi ya HTTP, matukio ya ratiba (kazi za cron), matukio ya hifadhidata, upakuaji wa faili, na mengineyo.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
- schedule:
rate: rate(10 minutes)

Rasilimali

Rasilimali zinakuwezesha kufafanua rasilimali za ziada za wingu ambazo huduma yako inategemea, kama vile hifadhidata, ndoo za hifadhi, au majukumu ya IAM.

Zinabainishwa chini ya sehemu ya resources, mara nyingi kwa kutumia sintaksia ya CloudFormation kwa AWS.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
TableName: my-table
AttributeDefinitions:
- AttributeName: id
AttributeType: S
KeySchema:
- AttributeName: id
KeyType: HASH
ProvisionedThroughput:
ReadCapacityUnits: 1
WriteCapacityUnits: 1

Mtoa huduma

The Provider object specifies the cloud service provider (e.g., AWS, Azure, Google Cloud) and contains configuration settings relevant to that provider.

Inajumuisha maelezo kama vile runtime, eneo, hatua, na akreditivu.

yamlCopy codeprovider:
name: aws
runtime: nodejs14.x
region: us-east-1
stage: dev

Hatua na Eneo

Hatua inawakilisha mazingira tofauti (kwa mfano, maendeleo, uhuishaji, uzalishaji) ambapo huduma yako inaweza kuwekwa. Inaruhusu mipangilio na uwekaji maalum wa mazingira.

provider:
stage: dev

Mkoa unaelezea eneo la kijiografia ambapo rasilimali zako zitawekwa. Ni muhimu kwa sababu za ucheleweshaji, kufuata sheria, na upatikanaji.

provider:
region: us-west-2

Plugins

Plugins huongeza uwezo wa Serverless Framework kwa kuongeza vipengele vipya au kuunganishwa na zana na huduma nyingine. Zimefafanuliwa chini ya sehemu ya plugins na zinawekwa kupitia npm.

plugins:
- serverless-offline
- serverless-webpack

Tabaka

Tabaka zinakuwezesha kufunga na kusimamia msimbo au utegemezi wa pamoja tofauti na kazi zako. Hii inakuza matumizi tena na kupunguza ukubwa wa pakiti za kutekeleza. Zinapangwa chini ya sehemu ya layers na kutajwa na kazi.

layers:
commonLibs:
path: layer-common
functions:
hello:
handler: handler.hello
layers:
- { Ref: CommonLibsLambdaLayer }

Variables na Mabadiliko ya Kijamii

Variables zinawezesha usanidi wa dynamic kwa kuruhusu matumizi ya nafasi za nafasi ambazo zinatatuliwa wakati wa kutekeleza.

Sintaksia: ${variable} sintaksia inaweza kurejelea mabadiliko ya mazingira, maudhui ya faili, au vigezo vingine vya usanidi.

functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Mabadiliko ya Kijamii: Sehemu ya custom inatumika kufafanua mabadiliko na usanidi wa watumiaji ambao wanaweza kutumika tena katika serverless.yml.

custom:
tableName: my-dynamodb-table
stage: ${opt:stage, 'dev'}

Matokeo

Matokeo yanafafanua thamani ambazo zinarejeshwa baada ya huduma kutekelezwa, kama vile ARNs za rasilimali, maeneo ya mwisho, au taarifa nyingine muhimu. Yanabainishwa chini ya sehemu ya outputs na mara nyingi hutumiwa kufichua taarifa kwa huduma nyingine au kwa ufikiaji rahisi baada ya kutekelezwa.

¡outputs:
ApiEndpoint:
Description: "API Gateway endpoint URL"
Value:
Fn::Join:
- ""
- - "https://"
- Ref: ApiGatewayRestApi
- ".execute-api."
- Ref: AWS::Region
- ".amazonaws.com/"
- Ref: AWS::Stage

IAM Roles and Permissions

IAM Roles and Permissions zinaelezea sifa za usalama na haki za ufikiaji kwa kazi zako na rasilimali nyingine. Zinapaswa kusimamiwa chini ya provider au mipangilio ya kazi binafsi ili kubainisha ruhusa zinazohitajika.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Vigezo vya Mazingira

Vigezo vinakuruhusu kupitisha mipangilio na siri kwa kazi zako bila kuzihardcode. Vinafafanuliwa chini ya sehemu ya environment kwa ajili ya mtoa huduma au kazi binafsi.

provider:
environment:
STAGE: ${self:provider.stage}
functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

Dependencies

Dependencies husimamia maktaba na moduli za nje ambazo kazi zako zinahitaji. Kwa kawaida zinashughulikiwa kupitia wasimamizi wa pakiti kama npm au pip, na kufungwa na kifurushi chako cha kutekeleza kwa kutumia zana au plugins kama serverless-webpack.

plugins:
- serverless-webpack

Hooks

Hooks zinakuruhusu kuendesha skripti au amri za kawaida katika hatua maalum za mzunguko wa kutekeleza. Zinapangwa kwa kutumia plugins au ndani ya serverless.yml ili kutekeleza vitendo kabla au baada ya kutekeleza.

custom:
hooks:
before:deploy:deploy: echo "Starting deployment..."

Tutorial

Hii ni muhtasari wa mafunzo rasmi kutoka kwenye hati:

Unda akaunti ya AWS (Serverless.com inaanza katika miundombinu ya AWS)
Unda akaunti katika serverless.com
Unda programu:

# Create temp folder for the tutorial
mkdir /tmp/serverless-tutorial
cd /tmp/serverless-tutorial

# Install Serverless cli
npm install -g serverless

# Generate template
serverless #Choose first one (AWS / Node.js / HTTP API)
## Indicate a name like "Tutorial"
## Login/Register
## Create A New App
## Indicate a name like "tutorialapp)

Hii inapaswa kuwa imeunda app inayoitwa tutorialapp ambayo unaweza kuangalia katika serverless.com na folda inayoitwa Tutorial yenye faili handler.js inayoshikilia baadhi ya msimbo wa JS wenye msimbo wa helloworld na faili serverless.yml ikitangaza kazi hiyo:

exports.hello = async (event) => {
return {
statusCode: 200,
body: JSON.stringify({
message: "Go Serverless v4! Your function executed successfully!",
}),
};
};

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get

Unda mtoa huduma wa AWS, ukitembea kwenye dashibodi katika https://app.serverless.com/<org name>/settings/providers?providerId=new&provider=aws.
Ili kutoa serverless.com ufikiaji wa AWS itahitaji kuendesha stack ya cloudformation ikitumia faili hii ya usanidi (wakati wa kuandika hapa): https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml
Kiolezo hiki kinaunda jukumu linaloitwa SFRole-<ID> lenye arn:aws:iam::aws:policy/AdministratorAccess juu ya akaunti yenye Kitambulisho cha Kuamini kinachoruhusu akaunti ya Serverless.com ya AWS kufikia jukumu hilo.

Yaml roleTemplate

```yaml Description: This stack creates an IAM role that can be used by Serverless Framework for use in deployments. Resources: SFRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: AWS: arn:aws:iam::486128539022:root Action: - sts:AssumeRole Condition: StringEquals: sts:ExternalId: !Sub 'ServerlessFramework-${OrgUid}' Path: / RoleName: !Ref RoleName ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess ReporterFunction: Type: Custom::ServerlessFrameworkReporter Properties: ServiceToken: 'arn:aws:lambda:us-east-1:486128539022:function:sp-providers-stack-reporter-custom-resource-prod-tmen2ec' OrgUid: !Ref OrgUid RoleArn: !GetAtt SFRole.Arn Alias: !Ref Alias Outputs: SFRoleArn: Description: 'ARN for the IAM Role used by Serverless Framework' Value: !GetAtt SFRole.Arn Parameters: OrgUid: Description: Serverless Framework Org Uid Type: String Alias: Description: Serverless Framework Provider Alias Type: String RoleName: Description: Serverless Framework Role Name Type: String ```

Uhusiano wa Kuamini

```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::486128539022:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ServerlessFramework-7bf7ddef-e1bf-43eb-a111-4d43e0894ccb" } } } ] } ```

Mafunzo yanahitaji kuunda faili createCustomer.js ambayo kimsingi itaunda kiunganishi kipya cha API kinachoshughulikiwa na faili mpya ya JS na yanahitaji kubadilisha faili serverless.yml ili kufanya itengeneze meza mpya ya DynamoDB, kufafanua kigezo cha mazingira, jukumu ambalo litakuwa likitumia lambdas zilizotengenezwa.

'use strict'
const AWS = require('aws-sdk')
module.exports.createCustomer = async (event) => {
const body = JSON.parse(Buffer.from(event.body, 'base64').toString())
const dynamoDb = new AWS.DynamoDB.DocumentClient()
const putParams = {
TableName: process.env.DYNAMODB_CUSTOMER_TABLE,
Item: {
primary_key: body.name,
email: body.email,
},
}
await dynamoDb.put(putParams).promise()
return {
statusCode: 201,
}
}

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x
environment:
DYNAMODB_CUSTOMER_TABLE: ${self:service}-customerTable-${sls:stage}
iam:
role:
statements:
- Effect: 'Allow'
Action:
- 'dynamodb:PutItem'
- 'dynamodb:Get*'
- 'dynamodb:Scan*'
- 'dynamodb:UpdateItem'
- 'dynamodb:DeleteItem'
Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-customerTable-${sls:stage}

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get
createCustomer:
handler: createCustomer.createCustomer
events:
- httpApi:
path: /
method: post

resources:
Resources:
CustomerTable:
Type: AWS::DynamoDB::Table
Properties:
AttributeDefinitions:
- AttributeName: primary_key
AttributeType: S
BillingMode: PAY_PER_REQUEST
KeySchema:
- AttributeName: primary_key
KeyType: HASH
TableName: ${self:service}-customerTable-${sls:stage}

Tumia serverless deploy kupeleka
Upelekaji utafanywa kupitia CloudFormation Stack
Kumbuka kwamba lambdas zinapatikana kupitia API gateway na si kupitia URLs za moja kwa moja
Jaribu
Hatua ya awali itachapisha URLs ambapo kazi za lambda za mwisho wa API zimepelekwa

Mapitio ya Usalama wa Serverless.com

Majukumu na Ruhusa za IAM Zilizopangwa Vibaya

Majukumu ya IAM yenye ruhusa nyingi sana yanaweza kutoa ufikiaji usioidhinishwa kwa rasilimali za wingu, na kusababisha uvujaji wa data au upotoshaji wa rasilimali.

Mikakati ya Kupunguza

Kanuni ya Haki Ndogo: Panga ruhusa zinazohitajika tu kwa kila kazi.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

Tumia Majukumu Tofauti: Differenciate majukumu kulingana na mahitaji ya kazi.

Siri na Usimamizi wa Mipangilio Usio Salama

Kuhifadhi taarifa nyeti (mfano, funguo za API, akidi za database) moja kwa moja katika serverless.yml au msimbo kunaweza kusababisha kufichuliwa ikiwa hifadhi za data zitashambuliwa au ikiwa ufikiaji wa AWS utashambuliwa kwani zitakuwa zinapatikana kutoka kwenye mipangilio ya lambdas.

Mikakati ya Kupunguza

Mabadiliko ya Mazingira: Ingiza siri wakati wa utendaji bila kuandika kwa nguvu.

provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}

Ushirikiano wa Meneja wa Siri: Tumia huduma kama AWS Secrets Manager, Azure Key Vault, au HashiCorp Vault.
Mabadiliko Yaliyosimbwa: Tumia vipengele vya usimbaji vya Serverless Framework kwa data nyeti.
Udhibiti wa Ufikiaji: Punguza ufikiaji wa siri kulingana na majukumu.
Epuka Kurekodi Siri: Hakikisha kwamba siri hazifichuliwi katika kumbukumbu au ujumbe wa makosa.

Msimbo na Mtegemeo Wenye Uhalifu

Mtegemeo wa zamani au usio salama unaweza kuleta udhaifu, wakati usimamizi mbaya wa pembejeo unaweza kusababisha mashambulizi ya kuingiza msimbo.

Mikakati ya Kupunguza

Usimamizi wa Mtegemeo: Sasisha mara kwa mara mtegemeo na scan kwa udhaifu.

plugins:
- serverless-webpack
- serverless-plugin-snyk

Uthibitishaji wa Pembejeo: Tekeleza uthibitishaji mkali na usafi wa pembejeo zote.
Mapitio ya Msimbo: Fanya mapitio ya kina ili kubaini kasoro za usalama.
Uchambuzi wa Kijamii: Tumia zana kugundua udhaifu katika msingi wa msimbo.

Kukosa Kurekodi na Ufuatiliaji

Bila kurekodi na ufuatiliaji sahihi, shughuli mbaya zinaweza kukosa kugunduliwa, kuchelewesha majibu ya tukio.

Mikakati ya Kupunguza

Kurekodi Kati: Panga kumbukumbu kwa kutumia huduma kama AWS CloudWatch au Datadog.

plugins:
- serverless-plugin-datadog

Washa Kurekodi kwa Kina: Pata taarifa muhimu bila kufichua data nyeti.
Weka Arifa: Sanidi arifa kwa shughuli za kushangaza au tofauti.
Ufuatiliaji wa Mara kwa Mara: Fuata mara kwa mara kumbukumbu na vipimo kwa matukio ya usalama yanayoweza kutokea.

Mipangilio ya API Gateway Isiyo Salama

APIs zilizo wazi au zisizo salama zinaweza kutumika kwa ufikiaji usioidhinishwa, mashambulizi ya Denial of Service (DoS), au mashambulizi ya cross-site.

Mikakati ya Kupunguza

Uthibitishaji na Uidhinishaji: Tekeleza mifumo imara kama OAuth, funguo za API, au JWT.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
authorizer: aws_iam

Kukataza Kiwango na Throttling: Zuia matumizi mabaya kwa kupunguza viwango vya maombi.

provider:
apiGateway:
throttle:
burstLimit: 200
rateLimit: 100

Sanidi CORS kwa Usalama: Punguza asili, mbinu, na vichwa vinavyoruhusiwa.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
cors:
origin: https://yourdomain.com
headers:
- Content-Type

Tumia Moto wa Programu za Wavuti (WAF): Chuja na ufuatilie maombi ya HTTP kwa mifumo mbaya.

Kukosa Kutengwa kwa Kazi

Rasilimali zinazoshirikiwa na kutengwa kwa kutosha kunaweza kusababisha kupanda kwa haki au mwingiliano usiohitajika kati ya kazi.

Mikakati ya Kupunguza

Tenga Kazi: Panga rasilimali tofauti na majukumu ya IAM ili kuhakikisha uendeshaji huru.
Kugawanya Rasilimali: Tumia hifadhidata tofauti au ndoo za kuhifadhi kwa kazi tofauti.
Tumia VPCs: Peleka kazi ndani ya Mifumo ya Kibinafsi ya Wingu kwa kutengwa kwa mtandao iliyoimarishwa.

provider:
vpc:
securityGroupIds:
- sg-xxxxxxxx
subnetIds:
- subnet-xxxxxx

Punguza Ruhusa za Kazi: Hakikisha kazi haziwezi kufikia au kuingilia rasilimali za kila mmoja isipokuwa inahitajika wazi.

Kukosa Ulinzi wa Data

Data isiyosimbwa katika hali ya kupumzika au katika usafiri inaweza kufichuliwa, na kusababisha uvujaji wa data au upotoshaji.

Mikakati ya Kupunguza

Simbua Data Katika Hali ya Kupumzika: Tumia vipengele vya usimbaji vya huduma za wingu.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
SSESpecification:
SSEEnabled: true

Simbua Data Katika Usafiri: Tumia HTTPS/TLS kwa usafiri wote wa data.
Wasiliana na API kwa Usalama: Lazimisha itifaki za usimbaji na kuthibitisha vyeti.
Simamisha Funguo za Usimbaji kwa Usalama: Tumia huduma za funguo zilizodhibitiwa na kubadilisha funguo mara kwa mara.

Kukosa Usimamizi wa Makosa Sahihi

Ujumbe wa makosa wa kina unaweza kufichua taarifa nyeti kuhusu miundombinu au msingi wa msimbo, wakati makosa yasiyoshughulikiwa yanaweza kusababisha kuanguka kwa programu.

Mikakati ya Kupunguza

Ujumbe wa Makosa wa Kawaida: Epuka kufichua maelezo ya ndani katika majibu ya makosa.

javascriptCopy code// Mfano katika Node.js
exports.hello = async (event) => {
try {
// Mantiki ya kazi
} catch (error) {
console.error(error);
return {
statusCode: 500,
body: JSON.stringify({ message: 'Internal Server Error' }),
};
}
};

Usimamizi wa Makosa Kati: Simamia na safisha makosa kwa njia ya kawaida katika kazi zote.
Fuata na Kurekodi Makosa: Fuata na kuchambua makosa ndani bila kufichua maelezo kwa watumiaji wa mwisho.

Mikakati Isiyo Salama ya Upelekaji

Mipangilio ya upelekaji iliyofichuliwa au ufikiaji usioidhinishwa kwa mabomba ya CI/CD yanaweza kusababisha upelekaji wa msimbo mbaya au mipangilio isiyo sahihi.

Mikakati ya Kupunguza

Salama Mabomba ya CI/CD: Tekeleza udhibiti mkali wa ufikiaji, uthibitishaji wa hatua nyingi (MFA), na ukaguzi wa mara kwa mara.
Hifadhi Mipangilio kwa Usalama: Hifadhi faili za upelekaji bila siri zilizowekwa kwa nguvu na data nyeti.
Tumia Zana za Usalama za Miundombinu kama Msimbo (IaC): Tumia zana kama Checkov au Terraform Sentinel kutekeleza sera za usalama.
Upelekaji Usio Badilika: Zuia mabadiliko yasiyoidhinishwa baada ya upelekaji kwa kupitisha mazoea ya miundombinu isiyobadilika.

Udhaifu katika Plugins na Extensions

Kutumia plugins za tatu zisizokaguliwa au mbaya kunaweza kuleta udhaifu katika programu zako za serverless.

Mikakati ya Kupunguza

Kagua Plugins kwa Kina: Kadiria usalama wa plugins kabla ya kuingizwa, ukipendelea zile kutoka vyanzo vinavyoaminika.
Punguza Matumizi ya Plugins: Tumia tu plugins zinazohitajika ili kupunguza uso wa shambulio.
Fuata Sasisho za Plugins: Hifadhi plugins zikiwa na sasisho ili kufaidika na patches za usalama.
Tenga Mazingira ya Plugins: Endesha plugins katika mazingira yaliyotengwa ili kudhibiti makosa yanayoweza kutokea.

Kufichuliwa kwa Mipangilio Nyeti

Kazi zinazopatikana hadharani au APIs zisizo na vizuizi zinaweza kutumika kwa shughuli zisizoidhinishwa.

Mikakati ya Kupunguza

Punguza Ufikiaji wa Kazi: Tumia VPCs, vikundi vya usalama, na sheria za moto ili kupunguza ufikiaji kwa vyanzo vinavyoaminika.
Tekeleza Uthibitishaji Imara: Hakikisha kwamba mipangilio yote iliyofichuliwa inahitaji uthibitishaji na uidhinishaji sahihi.
Tumia API Gateways kwa Usalama: Sanidi API Gateways kutekeleza sera za usalama, ikiwa ni pamoja na uthibitishaji wa pembejeo na kukataza kiwango.
Zima Mipangilio Isiyotumika: Kagua mara kwa mara na zima mipangilio yoyote ambayo haitumiki tena.

Ruhusa Zisizofaa kwa Wajumbe wa Timu na Washirikishi wa Nje

Kutoa ruhusa nyingi kwa wajumbe wa timu na washirikishi wa nje kunaweza kusababisha ufikiaji usioidhinishwa, uvujaji wa data, na matumizi mabaya ya rasilimali. Hatari hii inaongezeka katika mazingira ambapo watu wengi wana viwango tofauti vya ufikiaji, na kuongeza uso wa shambulio na uwezekano wa vitisho vya ndani.

Mikakati ya Kupunguza

Kanuni ya Haki Ndogo: Hakikisha kwamba wajumbe wa timu na washirikishi wana ruhusa zinazohitajika tu kutekeleza majukumu yao.

Usalama wa Funguo za Ufikiaji na Funguo za Leseni

Funguo za Ufikiaji na Funguo za Leseni ni ithibati muhimu zinazotumiwa kuthibitisha na kuidhinisha mwingiliano na Serverless Framework CLI.

Funguo za Leseni: Ni vitambulisho vya kipekee vinavyohitajika kwa uthibitishaji wa ufikiaji wa Serverless Framework Toleo la 4 ambalo linaruhusu kuingia kupitia CLI.
Funguo za Ufikiaji: Ithibati zinazoruhusu Serverless Framework CLI kuthibitisha na Dashibodi ya Serverless Framework. Wakati wa kuingia na serverless cli funguo ya ufikiaji itakuwa imeundwa na kuhifadhiwa kwenye laptop. Unaweza pia kuipanga kama mabadiliko ya mazingira yanayoitwa SERVERLESS_ACCESS_KEY.

Hatari za Usalama

Kufichuliwa Kupitia Hifadhi za Msimbo:

Kuandika kwa nguvu au kwa bahati mbaya kupeleka Funguo za Ufikiaji na Funguo za Leseni kwenye mifumo ya udhibiti wa toleo kunaweza kusababisha ufikiaji usioidhinishwa.

Hifadhi Isiyo Salama:

Kuhifadhi funguo katika maandiko wazi ndani ya mabadiliko ya mazingira au faili za mipangilio bila usimbaji sahihi kunaongeza uwezekano wa uvujaji.

Usambazaji Usiofaa:

Kushiriki funguo kupitia njia zisizo salama (mfano, barua pepe, gumzo) kunaweza kusababisha kukamatwa na wahalifu.

Kukosa Mzunguko:

Kutokuzungusha funguo mara kwa mara kunaongeza kipindi cha kufichuliwa ikiwa funguo zitashambuliwa.

Ruhusa Zisizofaa:

Funguo zenye ruhusa pana zinaweza kutumika kufanya vitendo visivyoidhinishwa katika rasilimali nyingi.

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud hifadhi za github.

PreviousOkta Hardening NextSupabase Security

Last updated 9 hours ago