Secret Manager

Google Secret Manager एक वॉल्ट-जैसी समाधान है जिसका उपयोग पासवर्ड, API कुंजी, प्रमाणपत्र, फ़ाइलें (अधिकतम 64KB) और अन्य संवेदनशील डेटा संग्रहित करने के लिए किया जाता है।

एक सीक्रेट में विभिन्न संस्करण हो सकते हैं जो विभिन्न डेटा को संग्रहित करते हैं।

डिफ़ॉल्ट रूप से सीक्रेट्स को Google द्वारा प्रबंधित कुंजी का उपयोग करके एन्क्रिप्ट किया जाता है, लेकिन सीक्रेट को एन्क्रिप्ट करने के लिए KMS से कुंजी का चयन करना संभव है।

रोटेशन के संबंध में, संदेशों को पब-सब पर हर कुछ दिनों में भेजने की कॉन्फ़िगरेशन करना संभव है, जो उन संदेशों को सुनने वाले कोड सीक्रेट को रोटेट कर सकता है।

एक स्वचालित मिटाने के लिए एक दिन कॉन्फ़िगर करना संभव है, जब निर्दिष्ट दिन पहुंचा जाएगा, तो सीक्रेट स्वचालित रूप से मिटा दिया जाएगा।

Enumeration

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

विशेषाधिकार उन्नयन

निम्नलिखित पृष्ठ पर आप देख सकते हैं कि विशेषमैनेजर अनुमतियों का दुरुपयोग करके विशेषाधिकारों को उन्नयन कैसे किया जा सकता है।

पोस्ट एक्सप्लोइटेशन

स्थिरता

चक्कर दुरुपयोग

हमलावर सीक्रेट को रोटेशन रोकने के लिए अपडेट कर सकता है (ताकि यह संशोधित न हो), या रोटेशन को बहुत कम बार करने के लिए (ताकि सीक्रेट संशोधित न हो) या रोटेशन संदेश को एक विभिन्न पब/सब पर प्रकाशित करने के लिए, या जो रोटेशन कोड को संचालित किया जा रहा है उसे संशोधित करने के लिए (यह एक विभिन्न सेवा में होता है, संभावतः एक क्लाउड फंक्शन में, इसलिए हमलावर को क्लाउड फंक्शन या किसी अन्य सेवा पर विशेषाधिकारी पहुंच की आवश्यकता होगी)