AWS - API Gateway Post Exploitation
Brama API
Aby uzyskać więcej informacji, sprawdź:
pageAWS - API Gateway EnumDostęp do nieujawnionych interfejsów API
Możesz utworzyć punkt końcowy w https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint z usługą com.amazonaws.us-east-1.execute-api
, odsłonić punkt końcowy w sieci, do której masz dostęp (potencjalnie za pośrednictwem maszyny EC2) i przypisać grupę zabezpieczeń zezwalającą na wszystkie połączenia.
Następnie z maszyny EC2 będziesz mógł uzyskać dostęp do punktu końcowego i w ten sposób wywołać bramę API, która wcześniej nie była ujawniona.
Atak DoS na plany użytkowania
W sekcji Wyliczanie możesz zobaczyć, jak uzyskać plan użytkowania kluczy. Jeśli masz klucz i jest on ograniczony do X użycia miesięcznie, możesz go po prostu użyć i spowodować atak DoS.
Klucz API musi być dołączony wewnątrz nagłówka HTTP o nazwie x-api-key
.
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
apigateway:UpdateGatewayResponse
, apigateway:CreateDeployment
Atakujący posiadający uprawnienia apigateway:UpdateGatewayResponse
i apigateway:CreateDeployment
może modyfikować istniejącą odpowiedź bramy, aby zawierała niestandardowe nagłówki lub szablony odpowiedzi, które ujawniają poufne informacje lub wykonują złośliwe skrypty.
Potencjalny wpływ: Wyciek poufnych informacji, wykonywanie złośliwych skryptów lub nieautoryzowany dostęp do zasobów interfejsu API.
Potrzebne testowanie
apigateway:UpdateStage
, apigateway:CreateDeployment
apigateway:UpdateStage
, apigateway:CreateDeployment
Atakujący posiadający uprawnienia apigateway:UpdateStage
i apigateway:CreateDeployment
może modyfikować istniejący etap bramy API Gateway w celu przekierowania ruchu do innego etapu lub zmiany ustawień buforowania w celu uzyskania nieautoryzowanego dostępu do danych buforowanych.
Potencjalny wpływ: Nieautoryzowany dostęp do danych z pamięci podręcznej, zakłócenie lub przechwycenie ruchu API.
Potrzebne testowanie
apigateway:PutMethodResponse
, apigateway:CreateDeployment
apigateway:PutMethodResponse
, apigateway:CreateDeployment
Atakujący posiadający uprawnienia apigateway:PutMethodResponse
i apigateway:CreateDeployment
może zmodyfikować odpowiedź metody istniejącej metody interfejsu API Gateway REST w celu dodania niestandardowych nagłówków lub szablonów odpowiedzi, które ujawnią poufne informacje lub wykonają złośliwe skrypty.
Potencjalny wpływ: Wyciek poufnych informacji, wykonywanie złośliwych skryptów lub nieautoryzowany dostęp do zasobów interfejsu API.
Potrzebne testowanie
apigateway:UpdateRestApi
, apigateway:CreateDeployment
apigateway:UpdateRestApi
, apigateway:CreateDeployment
Atakujący posiadający uprawnienia apigateway:UpdateRestApi
i apigateway:CreateDeployment
może modyfikować ustawienia interfejsu API Gateway REST w celu wyłączenia logowania lub zmiany minimalnej wersji TLS, co potencjalnie osłabia bezpieczeństwo interfejsu API.
Potencjalny wpływ: Oslabienie bezpieczeństwa interfejsu API, potencjalnie umożliwiające nieautoryzowany dostęp lub ujawnienie poufnych informacji.
Potrzebne testowanie
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
, apigateway:CreateUsagePlanKey
Atakujący posiadający uprawnienia apigateway:CreateApiKey
, apigateway:UpdateApiKey
, apigateway:CreateUsagePlan
i apigateway:CreateUsagePlanKey
może tworzyć nowe klucze API, powiązywać je z planami użycia, a następnie używać tych kluczy do nieautoryzowanego dostępu do interfejsów API.
Potencjalny wpływ: Nieautoryzowany dostęp do zasobów interfejsu API, obejście kontroli bezpieczeństwa.
Potrzebne testowanie
Last updated