GCP - Unauthenticated Enum & Access
सार्वजनिक संपत्तियों की खोज
किसी कंपनी के सार्वजनिक क्लाउड संसाधनों का पता लगाने का एक तरीका है कि उनके वेब को स्क्रैप किया जाए। CloudScraper जैसे उपकरण वेब को स्क्रैप करेंगे और सार्वजनिक क्लाउड संसाधनों के लिए लिंक की खोज करेंगे (इस मामले में यह उपकरण ['amazonaws.com', 'digitaloceanspaces.com', 'windows.net', 'storage.googleapis.com', 'aliyuncs.com']
की खोज करता है)
ध्यान दें कि अन्य क्लाउड संसाधनों की भी खोज की जा सकती है और कभी-कभी ये संसाधन CNAME रजिस्ट्रेशन के माध्यम से उन्हें इंगित करने वाले उपडोमेन के पीछे छिपे होते हैं।
सार्वजनिक संसाधनों का ब्रूट-फोर्स
बकेट, फ़ायरबेस, ऐप्स और क्लाउड फ़ंक्शंस
https://github.com/initstring/cloud_enum: यह उपकरण GCP में बकेट, फ़ायरबेस रीयलटाइम डेटाबेस, Google ऐप इंजन साइटों और क्लाउड फ़ंक्शंस का ब्रूट-फोर्स करता है
https://github.com/0xsha/CloudBrute: यह उपकरण GCP में बकेट और ऐप्स का ब्रूट-फोर्स करता है।
Last updated