Informazioni di base

Dalla documentazione: Per implementare infrastrutture come codice per le tue soluzioni Azure, utilizza i modelli di Azure Resource Manager (ARM). Il modello è un file JavaScript Object Notation (JSON) che definisce l'infrastruttura e la configurazione per il tuo progetto. Il modello utilizza una sintassi dichiarativa, che ti consente di indicare cosa intendi distribuire senza dover scrivere la sequenza di comandi di programmazione per crearla. Nel modello, specifici le risorse da distribuire e le proprietà di tali risorse.

Storia

Se puoi accedervi, puoi ottenere informazioni sulle risorse che non sono presenti ma potrebbero essere distribuite in futuro. Inoltre, se un parametro contenente informazioni sensibili è stato contrassegnato come "Stringa" invece di "SecureString", sarà presente in testo in chiaro.

Ricerca di informazioni sensibili

Gli utenti con i permessi Microsoft.Resources/deployments/read e Microsoft.Resources/subscriptions/resourceGroups/read possono leggere la cronologia delle distribuzioni.

Get-AzResourceGroup
Get-AzResourceGroupDeployment -ResourceGroupName <name>

# Export
Save-AzResourceGroupDeploymentTemplate -ResourceGroupName <RESOURCE GROUP> -DeploymentName <DEPLOYMENT NAME>
cat <DEPLOYMENT NAME>.json # search for hardcoded password
cat <PATH TO .json FILE> | Select-String password

Riferimenti

• https://app.gitbook.com/s/5uvPQhxNCPYYTqpRwsuS/~/changes/argKsv1NUBY9l4Pd28TU/pentesting-cloud/azure-security/az-services/az-arm-templates#riferimenti