AWS - API Gateway Post Exploitation
API Gateway
Pour plus d'informations, consultez :
pageAWS - API Gateway EnumAccéder aux API non exposées
Vous pouvez créer un point de terminaison dans https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint avec le service com.amazonaws.us-east-1.execute-api
, exposer le point de terminaison dans un réseau où vous avez accès (potentiellement via une machine EC2) et attribuer un groupe de sécurité autorisant toutes les connexions.
Ensuite, depuis la machine EC2, vous pourrez accéder au point de terminaison et donc appeler l'API de passerelle qui n'était pas exposée auparavant.
Plans d'utilisation DoS
Dans la section Énumération, vous pouvez voir comment obtenir le plan d'utilisation des clés. Si vous avez la clé et qu'elle est limitée à X utilisations par mois, vous pourriez simplement l'utiliser et provoquer un DoS.
La clé API doit simplement être incluse dans un en-tête HTTP appelé x-api-key
.
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
Un attaquant avec les autorisations apigateway:UpdateGatewayResponse
et apigateway:CreateDeployment
peut modifier une réponse de passerelle existante pour inclure des en-têtes personnalisés ou des modèles de réponse qui divulguent des informations sensibles ou exécutent des scripts malveillants.
Impact potentiel: Fuite d'informations sensibles, exécution de scripts malveillants ou accès non autorisé aux ressources de l'API.
Besoin de test
apigateway:UpdateStage
, apigateway:CreateDeployment
apigateway:UpdateStage
, apigateway:CreateDeployment
Un attaquant avec les autorisations apigateway:UpdateStage
et apigateway:CreateDeployment
peut modifier une étape existante de l'API Gateway pour rediriger le trafic vers une étape différente ou modifier les paramètres de mise en cache pour accéder de manière non autorisée aux données mises en cache.
Impact potentiel : Accès non autorisé aux données mises en cache, perturbation ou interception du trafic de l'API.
Besoin de test
apigateway:PutMethodResponse
, apigateway:CreateDeployment
apigateway:PutMethodResponse
, apigateway:CreateDeployment
Un attaquant disposant des autorisations apigateway:PutMethodResponse
et apigateway:CreateDeployment
peut modifier la réponse de méthode d'une méthode API Gateway REST existante pour inclure des en-têtes personnalisés ou des modèles de réponse qui divulguent des informations sensibles ou exécutent des scripts malveillants.
Impact potentiel : Fuite d'informations sensibles, exécution de scripts malveillants ou accès non autorisé aux ressources de l'API.
Besoin de test
apigateway:UpdateRestApi
, apigateway:CreateDeployment
apigateway:UpdateRestApi
, apigateway:CreateDeployment
Un attaquant avec les autorisations apigateway:UpdateRestApi
et apigateway:CreateDeployment
peut modifier les paramètres de l'API Gateway REST pour désactiver l'enregistrement des journaux ou changer la version minimale de TLS, affaiblissant potentiellement la sécurité de l'API.
Impact potentiel : Affaiblissement de la sécurité de l'API, permettant potentiellement un accès non autorisé ou l'exposition d'informations sensibles.
Besoin de test
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
Un attaquant avec les autorisations apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
et apigateway:CreateUsagePlanKey
peut créer de nouvelles clés API, les associer à des plans d'utilisation, puis utiliser ces clés pour accéder de manière non autorisée aux APIs.
Impact potentiel: Accès non autorisé aux ressources de l'API, contournement des contrôles de sécurité.
Besoin de test
Dernière mise à jour