GCP - Serviceusage Privesc
serviceusage
Aşağıdaki izinler, API anahtarları oluşturmak ve çalmak için kullanışlıdır, belgelerden alınanlar değil: API anahtarı, herhangi bir temsilci olmadan bir uygulamayı tanımlayan basit bir şifrelenmiş dizedir. Halka açık verilere anonim olarak erişmek için kullanışlıdırlar ve kota ve faturalandırma için API isteklerinizi projenizle ilişkilendirmek için kullanılırlar.
Bu nedenle, bir API anahtarı ile API'nin kullanımı için şirketten ödeme alabilirsiniz, ancak ayrıcalıkları yükseltemezsiniz.
Diğer izinleri ve API anahtarları oluşturmanın diğer yollarını öğrenmek için kontrol edin:
serviceusage.apiKeys.create
serviceusage.apiKeys.create
API anahtarları oluşturmak için kullanılabilecek belgelenmemiş bir API bulundu:
serviceusage.apiKeys.list
serviceusage.apiKeys.list
Zaten oluşturulmuş API anahtarlarını listelemek için başka bir belgelenmemiş API bulundu (yanıtta API anahtarları görünür):
serviceusage.services.enable
, serviceusage.services.use
serviceusage.services.enable
, serviceusage.services.use
Bu izinlerle bir saldırgan, projede yeni hizmetleri etkinleştirebilir ve kullanabilir. Bu, bir saldırganın, Workspace bilgilerine erişmeye çalışmak için admin veya cloudidentity gibi hizmetleri etkinleştirmesine veya ilginç verilere erişmek için diğer hizmetlere erişmesine olanak sağlayabilir.
Referanslar
Last updated