GCP - App Engine Post Exploitation
App Engine
App Engine
App Engineに関する情報は次を確認してください:
pageGCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
これらの権限を持っていると、次のことが可能です:
キーを追加する
キーをリストする
キーを取得する
削除する
ただし、CLIからこの情報にアクセスする方法は見つかりませんでした。情報はWebコンソールからのみアクセス可能で、そこではキータイプとキー名を知る必要があります。またはアプリケーションエンジンを実行しているアプリからアクセス可能です。
これらの権限を使用する簡単な方法をご存知の場合は、プルリクエストを送信してください!
logging.views.access
logging.views.access
この権限を持っていると、Appのログを表示することができます。
ソースコードの読み取り
すべてのバージョンとサービスのソースコードは、staging.<proj-id>.appspot.com
という名前のバケットに保存されています。それに書き込みアクセス権がある場合、ソースコードを読み取り、脆弱性や機密情報を検索することができます。
ソースコードの変更
送信されている資格情報を盗むためにソースコードを変更したり、ウェブ攻撃を行ったりします。
最終更新