Vercel Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Katika Vercel, Team ni mazingira kamili yanayomilikiwa na mteja na project ni programu.
Kwa ajili ya ukaguzi wa kuimarisha wa Vercel, unahitaji kuomba mtumiaji mwenye Viewer role permission au angalau Project viewer permission juu ya miradi ili kuangalia (ikiwa unahitaji tu kuangalia miradi na si usanidi wa Team pia).
Madhumuni: Kusimamia mipangilio ya msingi ya mradi kama vile jina la mradi, mfumo, na mipangilio ya ujenzi.
Transfer
Misconfiguration: Inaruhusu kuhamasisha mradi kwa timu nyingine
Risk: Mshambuliaji anaweza kuiba mradi
Delete Project
Misconfiguration: Inaruhusu kufuta mradi
Risk: Futa mradi
Madhumuni: Kusimamia majina ya kikoa maalum, mipangilio ya DNS, na mipangilio ya SSL.
DNS Configuration Errors
Misconfiguration: Rekodi za DNS zisizo sahihi (A, CNAME) zinazoelekeza kwenye seva za uhalifu.
Risk: Utekaji wa kikoa, kukamatwa kwa trafiki, na mashambulizi ya phishing.
SSL/TLS Certificate Management
Misconfiguration: Kutumia vyeti dhaifu au vilivyokwisha muda wa SSL/TLS.
Risk: Kuwa hatarini kwa mashambulizi ya mtu katikati (MITM), kuathiri uaminifu wa data na faragha.
DNSSEC Implementation
Misconfiguration: Kukosa kuwezesha DNSSEC au mipangilio isiyo sahihi ya DNSSEC.
Risk: Kuongezeka kwa uwezekano wa udanganyifu wa DNS na mashambulizi ya sumu ya cache.
Environment used per domain
Misconfiguration: Kubadilisha mazingira yanayotumika na kikoa katika uzalishaji.
Risk: Kuonyesha siri au kazi zinazoweza kutolewa ambazo hazipaswi kuwa katika uzalishaji.
Madhumuni: Muelekeo wa mazingira tofauti (Maendeleo, Mapitio, Uzalishaji) na mipangilio maalum na vigezo.
Environment Isolation
Misconfiguration: Kushiriki vigezo vya mazingira kati ya mazingira.
Risk: Kuvuja kwa siri za uzalishaji katika mazingira ya maendeleo au mapitio, kuongezeka kwa uwezekano wa kufichuliwa.
Access to Sensitive Environments
Misconfiguration: Kuruhusu ufikiaji mpana kwa mazingira ya uzalishaji.
Risk: Mabadiliko yasiyoidhinishwa au ufikiaji wa programu za moja kwa moja, kupelekea uwezekano wa kukatika kwa huduma au uvunjaji wa data.
Madhumuni: Kusimamia vigezo maalum vya mazingira na siri zinazotumika na programu.
Exposing Sensitive Variables
Misconfiguration: Kuongeza alama ya NEXT_PUBLIC_ kwenye vigezo nyeti, na kuifanya iweze kupatikana upande wa mteja.
Risk: Kuonyeshwa kwa funguo za API, akidi za database, au data nyingine nyeti kwa umma, kupelekea uvunjaji wa data.
Sensitive disabled
Misconfiguration: Ikiwa imezimwa (kawaida) inawezekana kusoma thamani za siri zilizozalishwa.
Risk: Kuongezeka kwa uwezekano wa kufichuliwa kwa bahati mbaya au ufikiaji usioidhinishwa wa taarifa nyeti.
Shared Environment Variables
Misconfiguration: Hizi ni vigezo vya mazingira vilivyowekwa kwenye kiwango cha Team na vinaweza pia kuwa na taarifa nyeti.
Risk: Kuongezeka kwa uwezekano wa kufichuliwa kwa bahati mbaya au ufikiaji usioidhinishwa wa taarifa nyeti.
Madhumuni: Kuunda mipangilio ya uhusiano wa Git, ulinzi wa matawi, na vichocheo vya kutekeleza.
Ignored Build Step (TODO)
Misconfiguration: Inaonekana kama chaguo hili linaruhusu kuunda skripti za bash/amri ambazo zitatekelezwa wakati commit mpya itakaposhirikiwa kwenye Github, ambayo inaweza kuruhusu RCE.
Risk: TBD
Madhumuni: Kuunganisha huduma na zana za upande wa tatu ili kuboresha kazi za mradi.
Insecure Third-Party Integrations
Misconfiguration: Kuunganisha na huduma za upande wa tatu zisizoaminika au zisizo salama.
Risk: Kuanzisha udhaifu, uvujaji wa data, au milango ya nyuma kupitia uhusiano ulioathirika.
Over-Permissioned Integrations
Misconfiguration: Kutoa ruhusa nyingi kwa huduma zilizounganishwa.
Risk: Ufikiaji usioidhinishwa wa rasilimali za mradi, urekebishaji wa data, au usumbufu wa huduma.
Lack of Integration Monitoring
Misconfiguration: Kukosa kufuatilia na kukagua uhusiano wa upande wa tatu.
Risk: Kuchelewesha kugundua uhusiano ulioathirika, kuongezeka kwa athari za uvunjaji wa usalama.
Madhumuni: Kulinda kutekeleza kupitia mitambo mbalimbali ya ulinzi, kudhibiti nani anaweza kufikia na kutekeleza kwenye mazingira yako.
Vercel Authentication
Misconfiguration: Kuzima uthibitisho au kutotekeleza ukaguzi wa wanachama wa timu.
Risk: Watumiaji wasioidhinishwa wanaweza kufikia kutekeleza, kupelekea uvunjaji wa data au matumizi mabaya ya programu.
Protection Bypass for Automation
Misconfiguration: Kuonyesha siri ya kupita hadharani au kutumia siri dhaifu.
Risk: Wavamizi wanaweza kupita ulinzi wa kutekeleza, kufikia na kubadilisha kutekeleza kulindwa.
Shareable Links
Misconfiguration: Kushiriki viungo bila kuchuja au kukosa kufuta viungo vya zamani.
Risk: Ufikiaji usioidhinishwa wa kutekeleza kulindwa, kupita uthibitisho na vizuizi vya IP.
OPTIONS Allowlist
Misconfiguration: Kuruhusu njia pana au mwisho wa nyeti.
Risk: Wavamizi wanaweza kutumia njia zisizo salama kufanya vitendo visivyoidhinishwa au kupita ukaguzi wa usalama.
Password Protection
Misconfiguration: Kutumia nywila dhaifu au kuzishiriki kwa njia isiyo salama.
Risk: Ufikiaji usioidhinishwa wa kutekeleza ikiwa nywila zitakisiwa au kuvuja.
Note: Inapatikana kwenye mpango wa Pro kama sehemu ya Advanced Deployment Protection kwa $150/ mwezi zaidi.
Deployment Protection Exceptions
Misconfiguration: Kuongeza kikoa cha uzalishaji au nyeti kwenye orodha ya visamehe kwa bahati mbaya.
Risk: Kuonyesha kutekeleza muhimu kwa umma, kupelekea uvujaji wa data au ufikiaji usioidhinishwa.
Note: Inapatikana kwenye mpango wa Pro kama sehemu ya Advanced Deployment Protection kwa $150/ mwezi zaidi.
Trusted IPs
Misconfiguration: Kuweka vibaya anwani za IP au anuwai za CIDR.
Risk: Watumiaji halali kuzuia au IP zisizoidhinishwa kupata ufikiaji.
Note: Inapatikana kwenye mpango wa Enterprise.
Madhumuni: Kuunda mipangilio ya kazi zisizo na seva, ikiwa ni pamoja na mipangilio ya wakati, ugawaji wa kumbukumbu, na sera za usalama.
Nothing
Madhumuni: Kusimamia mikakati na mipangilio ya caching ili kuboresha utendaji na kudhibiti uhifadhi wa data.
Purge Cache
Misconfiguration: Inaruhusu kufuta cache yote.
Risk: Watumiaji wasioidhinishwa kufuta cache kupelekea uwezekano wa DoS.
Madhumuni: Kuunda kazi za kiotomatiki na skripti zinazofanya kazi kwa vipindi vilivyotajwa.
Disable Cron Job
Misconfiguration: Inaruhusu kuzima kazi za cron zilizotangazwa ndani ya msimbo
Risk: Ukatishaji wa huduma (kulingana na kazi za cron zilikuwa na lengo gani)
Madhumuni: Kuunda huduma za nje za kuandika ili kukamata na kuhifadhi kumbukumbu za programu kwa ajili ya kufuatilia na kukagua.
Nothing (managed from teams settings)
Madhumuni: Kituo cha kati kwa mipangilio mbalimbali zinazohusiana na usalama zinazoathiri ufikiaji wa mradi, ulinzi wa chanzo, na zaidi.
Build Logs and Source Protection
Misconfiguration: Kuzima ulinzi au kuonyesha njia za /logs na /src hadharani.
Risk: Ufikiaji usioidhinishwa wa kumbukumbu za ujenzi na msimbo wa chanzo, kupelekea uvujaji wa taarifa na uwezekano wa kutumia udhaifu.
Git Fork Protection
Misconfiguration: Kuruhusu ombi zisizoidhinishwa bila ukaguzi sahihi.
Risk: Msimbo mbaya unaweza kuunganishwa kwenye msingi wa msimbo, kuanzisha udhaifu au milango ya nyuma.
Secure Backend Access with OIDC Federation
Misconfiguration: Kuweka vibaya vigezo vya OIDC au kutumia URL zisizo salama za mtoaji.
Risk: Ufikiaji usioidhinishwa wa huduma za nyuma kupitia mchakato wa uthibitishaji ulio na kasoro.
Deployment Retention Policy
Misconfiguration: Kuweka muda wa uhifadhi kuwa mfupi sana (kupoteza historia ya kutekeleza) au mrefu sana (uhifadhi wa data usiohitajika).
Risk: Kutokuweza kufanya kurudi nyuma inapohitajika au kuongezeka kwa hatari ya kufichuliwa kwa data kutoka kwa kutekeleza za zamani.
Recently Deleted Deployments
Misconfiguration: Kukosa kufuatilia kutekeleza zilizofutwa au kutegemea tu kufutwa kwa kiotomatiki.
Risk: Kupoteza historia muhimu ya kutekeleza, kuzuia ukaguzi na kurudi nyuma.
Madhumuni: Ufikiaji wa mipangilio ya ziada ya mradi kwa ajili ya kuboresha mipangilio na kuimarisha usalama.
Directory Listing
Misconfiguration: Kuwezesha orodha ya orodha inaruhusu watumiaji kuona maudhui ya orodha bila faili ya index.
Risk: Kuonyeshwa kwa faili nyeti, muundo wa programu, na maeneo yanayoweza kutumiwa kwa mashambulizi.
Enable Attack Challenge Mode
Misconfiguration: Kuwezesha hii kunaboresha ulinzi wa programu ya wavuti dhidi ya DoS lakini kwa gharama ya matumizi
Risk: Matatizo ya uzoefu wa mtumiaji.
Misconfiguration: Inaruhusu kuzuia/kuzuia trafiki
Risk: Uwezekano wa DoS kuruhusu trafiki ya uhalifu au kuzuia trafiki ya halali
Misconfiguration: Inaruhusu ufikiaji wa kusoma msimbo kamili wa programu
Risk: Uwezekano wa kufichuliwa kwa taarifa nyeti
Misconfiguration: Ulinzi huu unahakikisha mteja na programu ya seva kila wakati wanatumia toleo sawa ili kusiwe na kutokuelewana ambapo mteja anatumia toleo tofauti na seva na hivyo hawaelewani.
Risk: Kuzima hii (ikiwa imewezeshwa) kunaweza kusababisha matatizo ya DoS katika kutekeleza mpya siku zijazo
Transfer
Misconfiguration: Inaruhusu kuhamasisha miradi yote kwa timu nyingine
Risk: Mshambuliaji anaweza kuiba miradi
Delete Project
Misconfiguration: Inaruhusu kufuta timu na miradi yote
Risk: Futa miradi
Speed Insights Cost Limit
Misconfiguration: Mshambuliaji anaweza kuongeza nambari hii
Risk: Kuongezeka kwa gharama
Add members
Misconfiguration: Mshambuliaji anaweza kudumisha kudumu kwa kumwalika akaunti anayoitawala
Risk: Kudumu kwa mshambuliaji
Roles
Misconfiguration: Kutoa ruhusa nyingi kwa watu wasiohitaji huongeza hatari ya usanidi wa vercel. Angalia majukumu yote yanayowezekana katika https://vercel.com/docs/accounts/team-members-and-roles/access-roles
Risk: Kuongeza kufichuliwa kwa Vercel Team
Access Group katika Vercel ni mkusanyiko wa miradi na wanachama wa timu wenye ugawaji wa majukumu yaliyowekwa, kuruhusu usimamizi wa ufikiaji wa kati na wa haraka kati ya miradi mingi.
Potential Misconfigurations:
Over-Permissioning Members: Kutoa majukumu yenye ruhusa zaidi ya zinazohitajika, kupelekea ufikiaji au vitendo visivyoidhinishwa.
Improper Role Assignments: Kutoa majukumu yasiyo sahihi ambayo hayakidhi majukumu ya wanachama wa timu, kupelekea kupanda kwa mamlaka.
Lack of Project Segregation: Kukosa kutenganisha miradi nyeti, kuruhusu ufikiaji mpana zaidi kuliko ilivyokusudiwa.
Insufficient Group Management: Kukosa kukagua au kuboresha Access Groups mara kwa mara, kupelekea ruhusa za ufikiaji zisizofaa au za zamani.
Inconsistent Role Definitions: Kutumia ufafanuzi wa majukumu usio sawa au usio wazi kati ya Access Groups tofauti, kupelekea mkanganyiko na mapengo ya usalama.
Log Drains to third parties:
Misconfiguration: Mshambuliaji anaweza kuunda Log Drain ili kuiba kumbukumbu
Risk: Kudumu kwa sehemu
Team Email Domain: Wakati imewekwa, mipangilio hii kiotomatiki inaalika Akaunti za Kibinafsi za Vercel zenye anwani za barua pepe zinazomalizika na kikoa kilichotajwa (kwa mfano, mydomain.com) kujiunga na timu yako wakati wa kujiandikisha na kwenye dashibodi.
Misconfiguration:
Kuweka kikoa kibaya cha barua pepe au kikoa kilichokosewa katika mipangilio ya Kikoa cha Barua pepe ya Timu.
Kutumia kikoa cha barua pepe cha kawaida (kwa mfano, gmail.com, hotmail.com) badala ya kikoa maalum cha kampuni.
Risks:
Unauthorized Access: Watumiaji wenye anwani za barua pepe kutoka kikoa kisichokusudiwa wanaweza kupokea mialiko ya kujiunga na timu yako.
Data Exposure: Uwezekano wa kufichuliwa kwa taarifa nyeti za mradi kwa watu wasioidhinishwa.
Protected Git Scopes: Inaruhusu kuongeza hadi vichomo 5 vya Git kwa timu yako ili kuzuia timu nyingine za Vercel kutekeleza hifadhi kutoka kwenye kikoa kilicholindwa. Timu nyingi zinaweza kuweka kikoa sawa, kuruhusu timu zote kufikia.
Misconfiguration: Kukosa kuongeza vichomo muhimu vya Git kwenye orodha ya walinzi.
Risks:
Unauthorized Deployments: Timu nyingine zinaweza kutekeleza hifadhi kutoka kwenye vichomo vya Git vya shirika lako bila idhini.
Intellectual Property Exposure: Msimbo wa miliki unaweza kutekelezwa na kupatikana nje ya timu yako.
Environment Variable Policies: Inalazimisha sera za kuunda na kuhariri vigezo vya mazingira vya timu. Kwa haswa, unaweza kulazimisha kwamba vigezo vyote vya mazingira viundwe kama Sensitive Environment Variables, ambavyo vinaweza kufichuliwa tu na mfumo wa kutekeleza wa Vercel.
Misconfiguration: Kuacha kulazimisha vigezo vya mazingira nyeti kuwa kuzimwa.
Risks:
Exposure of Secrets: Vigezo vya mazingira vinaweza kuonyeshwa au kuhaririwa na wanachama wasioidhinishwa wa timu.
Data Breach: Taarifa nyeti kama funguo za API na akidi zinaweza kuvuja.
Audit Log: Inatoa usafirishaji wa shughuli za timu kwa hadi siku 90 zilizopita. Kumbukumbu za ukaguzi husaidia katika kufuatilia na kufuatilia vitendo vilivyofanywa na wanachama wa timu.
Misconfiguration: Kutoa ufikiaji wa kumbukumbu za ukaguzi kwa wanachama wasioidhinishwa wa timu.
Risks:
Privacy Violations: Kuonyeshwa kwa shughuli na data nyeti za watumiaji.
Tampering with Logs: Watu wabaya wanaweza kubadilisha au kufuta kumbukumbu ili kuficha nyayo zao.
SAML Single Sign-On: Inaruhusu kubadilisha uthibitishaji wa SAML na usawazishaji wa directory kwa timu yako, kuruhusu uunganisho na Mtoaji wa Kitambulisho (IdP) kwa uthibitishaji wa kati na usimamizi wa watumiaji.
Misconfiguration: Mshambuliaji anaweza kuingiza nyuma mipangilio ya Timu kwa kuweka vigezo vya SAML kama Entity ID, SSO URL, au alama za cheti.
Risk: Kudumisha kudumu
IP Address Visibility: Kudhibiti ikiwa anwani za IP, ambazo zinaweza kuzingatiwa kama taarifa binafsi chini ya sheria fulani za ulinzi wa data, zinaonyeshwa katika maswali ya Ufuatiliaji na Log Drains.
Misconfiguration: Kuacha kuonekana kwa anwani za IP bila sababu.
Risks:
Privacy Violations: Kutokukidhi kanuni za ulinzi wa data kama GDPR.
Legal Repercussions: Uwezekano wa faini na adhabu kwa kushughulikia data binafsi vibaya.
IP Blocking: Inaruhusu kuunda mipangilio ya anwani za IP na anuwai za CIDR ambazo Vercel inapaswa kuzuia maombi kutoka. Maombi yaliyokatazwa hayachangii bili yako.
Misconfiguration: Inaweza kutumiwa vibaya na mshambuliaji kuruhusu trafiki ya uhalifu au kuzuia trafiki halali.
Risks:
Service Denial to Legitimate Users: Kuzuia ufikiaji kwa watumiaji halali au washirika.
Operational Disruptions: Kupoteza upatikanaji wa huduma kwa maeneo fulani au wateja.
Vercel Secure Compute inaruhusu uhusiano salama, wa faragha kati ya Vercel Functions na mazingira ya nyuma (kwa mfano, databases) kwa kuanzisha mitandao iliyotengwa yenye anwani za IP maalum. Hii inondoa haja ya kuonyesha huduma za nyuma hadharani, kuimarisha usalama, kufuata sheria, na faragha.
Incorrect AWS Region Selection
Misconfiguration: Kuchagua eneo la AWS kwa mtandao wa Secure Compute ambalo halifanani na eneo la huduma za nyuma.
Risk: Kuongezeka kwa ucheleweshaji, matatizo ya kufuata makazi ya data, na utendaji mbovu.
Overlapping CIDR Blocks
Misconfiguration: Kuchagua blocks za CIDR zinazovutana na VPC zilizopo au mitandao mingine.
Risk: Migogoro ya mtandao inayopelekea uhusiano kushindwa, ufikiaji usioidhinishwa, au uvujaji wa data kati ya mitandao.
Improper VPC Peering Configuration
Misconfiguration: Kuweka vibaya uhusiano wa VPC (kwa mfano, IDs za VPC zisizo sahihi, masasisho yasiyo kamili ya jedwali la njia).
Risk: Ufikiaji usioidhinishwa wa miundombinu ya nyuma, uhusiano salama kushindwa, na uwezekano wa uvunjaji wa data.
Excessive Project Assignments
Misconfiguration: Kutoa miradi mingi kwa mtandao mmoja wa Secure Compute bila kutengwa ipasavyo.
Risk: Kuongezeka kwa kufichuliwa kwa IP kunaongeza uso wa shambulio, na hivyo miradi iliyoharibiwa inaweza kuathiri nyingine.
Inadequate IP Address Management
Misconfiguration: Kukosa kusimamia au kubadilisha anwani za IP maalum ipasavyo.
Risk: Ulaghai wa IP, udhaifu wa kufuatilia, na uwezekano wa kuorodheshwa kama mbaya ikiwa IP zitahusishwa na shughuli za uhalifu.
Including Build Containers Unnecessarily
Misconfiguration: Kuongeza vyombo vya ujenzi kwenye mtandao wa Secure Compute wakati ufikiaji wa nyuma hauhitajiki wakati wa ujenzi.
Risk: Kuongezeka kwa uso wa shambulio, ucheleweshaji wa ugawaji, na matumizi yasiyo ya lazima ya rasilimali za mtandao.
Failure to Securely Handle Bypass Secrets
Misconfiguration: Kuonyesha au kushughulikia vibaya siri zinazotumika kupita ulinzi wa kutekeleza.
Risk: Ufikiaji usioidhinishwa wa kutekeleza kulindwa, kuruhusu wavamizi kubadilisha au kutekeleza msimbo mbaya.
Ignoring Region Failover Configurations
Misconfiguration: Kukosa kuweka maeneo ya kupita ya pasifiki au kuunda mipangilio ya kupita vibaya.
Risk: Kukosekana kwa huduma wakati wa kutofaulu kwa eneo kuu, kupelekea kupungua kwa upatikanaji na uwezekano wa kutokuelewana kwa data.
Exceeding VPC Peering Connection Limits
Misconfiguration: Kujaribu kuanzisha uhusiano zaidi wa VPC kuliko mipaka inayoruhusiwa (kwa mfano, kupita uhusiano 50).
Risk: Kukosa kuunganisha huduma muhimu za nyuma kwa usalama, kupelekea kushindwa kutekeleza na usumbufu wa operesheni.
Insecure Network Settings
Misconfiguration: Sheria dhaifu za moto, kukosa usimbuaji, au kutenganisha mtandao vibaya ndani ya mtandao wa Secure Compute.
Risk: Kukamatwa kwa data, ufikiaji usioidhinishwa wa huduma za nyuma, na kuongezeka kwa udhaifu wa mashambulizi.
Madhumuni: Kusimamia vigezo maalum vya mazingira na siri zinazotumika na miradi yote.
Exposing Sensitive Variables
Misconfiguration: Kuongeza alama ya NEXT_PUBLIC_ kwenye vigezo nyeti, na kuifanya iweze kupatikana upande wa mteja.
Risk: Kuonyeshwa kwa funguo za API, akidi za database, au data nyingine nyeti kwa umma, kupelekea uvunjaji wa data.
Sensitive disabled
Misconfiguration: Ikiwa imezimwa (kawaida) inawezekana kusoma thamani za siri zilizozalishwa.
Risk: Kuongezeka kwa uwezekano wa kufichuliwa kwa bahati mbaya au ufikiaji usioidhinishwa wa taarifa nyeti.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
