GCP - Serviceusage Privesc
serviceusage
निम्नलिखित अनुमतियां API कुंजियों को बनाने और चुराने के लिए उपयोगी हैं, डॉक्स से यह नोट करें: एक API कुंजी एक सरल एन्क्रिप्टेड स्ट्रिंग है जो किसी एप्लिकेशन को किसी भी प्रिंसिपल के बिना पहचानती है. वे सार्वजनिक डेटा को गुमनाम रूप से एक्सेस करने के लिए उपयोगी हैं, और API अनुरोधों को आपके प्रोजेक्ट के साथ कोटा और बिलिंग के लिए जोड़ने के लिए प्रयोग किए जाते हैं.
इसलिए, एक API कुंजी के साथ आप उस कंपनी को आपके API के उपयोग के लिए भुगतान करवा सकते हैं, लेकिन आप अधिकारों को बढ़ा नहीं पाएंगे।
अन्य अनुमतियों और API कुंजियों को जनरेट करने के तरीकों को जानने के लिए देखें:
pageGCP - Apikeys Privescserviceusage.apiKeys.create
serviceusage.apiKeys.create
एक अनडॉक्यूमेंटेड API पाई गई जिसका उपयोग API कुंजियों को बनाने के लिए किया जा सकता है:
serviceusage.apiKeys.list
serviceusage.apiKeys.list
एक और अनदस्तावेज़ API पाया गया जो पहले से बनाए गए API कुंजियों की सूची बनाने के लिए है (API कुंजियाँ प्रतिक्रिया में दिखाई देती हैं):
serviceusage.services.enable
, serviceusage.services.use
serviceusage.services.enable
, serviceusage.services.use
इन अनुमतियों के साथ एक हमलावर प्रोजेक्ट में नई सेवाओं को सक्षम और उपयोग कर सकता है। इससे हमलावर को admin या cloudidentity जैसी सेवा को सक्षम करने की अनुमति मिल सकती है ताकि Workspace की जानकारी तक पहुँचने का प्रयास किया जा सके, या अन्य सेवाओं का उपयोग करके दिलचस्प डेटा तक पहुँचा जा सके।
संदर्भ
Last updated