GCP - App Engine Enum
Información Básica
App Engine de Google Cloud Platform (GCP) es una plataforma robusta y sin servidor diseñada para el desarrollo y alojamiento de aplicaciones web a gran escala. El diseño de esta plataforma se centra en agilizar el proceso de desarrollo y mejorar la administración de aplicaciones. Las características clave y beneficios de App Engine de GCP incluyen:
Arquitectura sin servidor: App Engine maneja automáticamente la infraestructura, incluida la provisión de servidores, la configuración y el escalado. Esto permite a los desarrolladores centrarse en escribir código sin preocuparse por el hardware subyacente.
Escalado automático: App Engine puede escalar automáticamente tu aplicación en respuesta a la cantidad de tráfico que recibe. Escala para manejar un aumento de tráfico y se reduce cuando el tráfico disminuye, ayudando a optimizar costos y rendimiento.
Soporte de lenguajes y runtimes: Admite lenguajes de programación populares como Java, Python, Node.js, Go, Ruby, PHP y .NET. Puedes ejecutar tus aplicaciones en un entorno estándar o flexible. El entorno estándar es más restrictivo pero altamente optimizado para lenguajes específicos, mientras que el entorno flexible permite una mayor personalización.
Servicios Integrados: App Engine se integra con muchos otros servicios de GCP, como Cloud SQL, Cloud Storage, Cloud Datastore, entre otros. Esta integración simplifica la arquitectura de las aplicaciones basadas en la nube.
Versionado y División de Tráfico: Puedes implementar fácilmente múltiples versiones de tu aplicación y luego dividir el tráfico entre ellas para pruebas A/B o implementaciones graduales.
Información de la Aplicación: App Engine proporciona servicios integrados como registro, autenticación de usuarios y un conjunto de herramientas para monitorear y administrar aplicaciones.
Seguridad: Ofrece características de seguridad integradas como versionado de aplicaciones, certificados SSL/TLS para conexiones seguras y gestión de identidad y acceso.
Firewall
Se puede configurar un firewall simple para las instancias que ejecutan las aplicaciones con las siguientes opciones:
SA
La cuenta de servicio predeterminada utilizada por estas aplicaciones es <nombre-proyecto>@appspot.gserviceaccount.com
que tiene el rol de Editor sobre el proyecto y las cuentas de servicio dentro de la instancia de App Engine se ejecutan con alcance de cloud-platform (entre otros).
Almacenamiento
El código fuente y los metadatos se almacenan automáticamente en buckets con nombres como <id-proyecto>.appspot.com
y staging.<id-proyecto>.appspot.com
y <país>.<id-proyecto>.appspot.com
Cada archivo de la aplicación se almacena con el sha1 del contenido como nombre de archivo:
Dentro de la carpeta ae
de staging.<id-proyecto>.appspot.com
, existe una carpeta por versión con los archivos de código fuente y un archivo manifest.json
que describe los componentes de la aplicación:
Contenedores
La aplicación web será ejecutada dentro de un contenedor y Code Build se utiliza para construir el contenedor.
URLs y Regiones
La página web predeterminada se expondrá en la URL <project-uniq-name>.appspot.com
aunque la URL de las versiones antiguas será ligeramente diferente, como https://20240117t001540-dot-<project-uniq-name>.uc.r.appspot.com
(nota la marca de tiempo inicial).
Puede parecer que solo es posible implementar 1 aplicación web de App Engine por región, pero es posible indicar service: <servicename>
en el app.yml
y crear un nuevo servicio (una nueva web). El formato de la URL para esta nueva web será <servicename>-dot-<project-uniq-name>.appspot.com
.
Enumeración
Cada vez que subes un nuevo código a la App, se crea una nueva versión. Todas las versiones se almacenan e incluso tienen una URL para acceder a ellas. Por lo tanto, modificar el código de una versión antigua podría ser una excelente técnica de persistencia.
Al igual que con las Cloud Functions, existe la posibilidad de que la aplicación dependa de secretos a los que se accede en tiempo de ejecución a través de variables de entorno. Estas variables se almacenan en un archivo app.yaml
al que se puede acceder de la siguiente manera:
Escalada de Privilegios
pageGCP - AppEngine PrivescEnumeración sin Autenticación
pageGCP - App Engine Unauthenticated EnumPost Explotación
pageGCP - App Engine Post ExploitationPersistencia
pageGCP - App Engine PersistenceÚltima actualización