AWS - API Gateway Post Exploitation
API Gateway
Für weitere Informationen siehe:
pageAWS - API Gateway EnumZugriff auf nicht freigegebene APIs
Sie können einen Endpunkt unter https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint mit dem Dienst com.amazonaws.us-east-1.execute-api
erstellen, den Endpunkt in einem Netzwerk freigeben, auf das Sie Zugriff haben (möglicherweise über eine EC2-Maschine), und eine Sicherheitsgruppe zuweisen, die alle Verbindungen zulässt.
Dann können Sie von der EC2-Maschine aus auf den Endpunkt zugreifen und somit die Gateway-API aufrufen, die zuvor nicht freigegeben war.
DoS von Nutzungsplänen
Im Abschnitt Enumeration können Sie sehen, wie Sie den Nutzungsplan der Schlüssel erhalten können. Wenn Sie den Schlüssel haben und er auf X Nutzungen pro Monat begrenzt ist, könnten Sie ihn einfach verwenden und einen DoS verursachen.
Der API-Schlüssel muss nur in einem HTTP-Header namens x-api-key
enthalten sein.
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
Ein Angreifer mit den Berechtigungen apigateway:UpdateGatewayResponse
und apigateway:CreateDeployment
kann eine vorhandene Gateway-Antwort ändern, um benutzerdefinierte Header oder Antwortvorlagen einzuschließen, die sensible Informationen preisgeben oder bösartige Skripte ausführen.
Potenzielle Auswirkungen: Offenlegung sensibler Informationen, Ausführung bösartiger Skripte oder unbefugter Zugriff auf API-Ressourcen.
Benötigt Test
apigateway:UpdateStage
, apigateway:CreateDeployment
apigateway:UpdateStage
, apigateway:CreateDeployment
Ein Angreifer mit den Berechtigungen apigateway:UpdateStage
und apigateway:CreateDeployment
kann eine vorhandene API Gateway-Stage ändern, um den Datenverkehr auf eine andere Stage umzuleiten oder die Caching-Einstellungen zu ändern, um unbefugten Zugriff auf zwischengespeicherte Daten zu erhalten.
Potenzielle Auswirkungen: Unbefugter Zugriff auf zwischengespeicherte Daten, Unterbrechung oder Abfangen des API-Verkehrs.
Testen erforderlich
apigateway:PutMethodResponse
, apigateway:CreateDeployment
apigateway:PutMethodResponse
, apigateway:CreateDeployment
Ein Angreifer mit den Berechtigungen apigateway:PutMethodResponse
und apigateway:CreateDeployment
kann die Methodenantwort einer vorhandenen API Gateway REST-API-Methode ändern, um benutzerdefinierte Header oder Antwortvorlagen einzuschließen, die sensible Informationen preisgeben oder bösartige Skripte ausführen.
Potenzielle Auswirkungen: Offenlegung sensibler Informationen, Ausführung bösartiger Skripte oder unbefugter Zugriff auf API-Ressourcen.
Testen erforderlich
apigateway:UpdateRestApi
, apigateway:CreateDeployment
apigateway:UpdateRestApi
, apigateway:CreateDeployment
Ein Angreifer mit den Berechtigungen apigateway:UpdateRestApi
und apigateway:CreateDeployment
kann die Einstellungen der API Gateway REST-API ändern, um das Logging zu deaktivieren oder die minimale TLS-Version zu ändern, was potenziell die Sicherheit der API schwächen kann.
Potenzielle Auswirkungen: Schwächung der Sicherheit der API, was möglicherweise unbefugten Zugriff ermöglicht oder sensible Informationen offenlegt.
Testen erforderlich
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
Ein Angreifer mit den Berechtigungen apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
und apigateway:CreateUsagePlanKey
kann neue API-Schlüssel erstellen, sie mit Nutzungsplänen verknüpfen und diese Schlüssel dann für unbefugten Zugriff auf APIs verwenden.
Potenzielle Auswirkungen: Unberechtigter Zugriff auf API-Ressourcen, Umgehung von Sicherheitskontrollen.
Benötigt Test
Last updated