AWS - Apigateway Privesc
Apigateway
Aby uzyskać więcej informacji, sprawdź:
pageAWS - API Gateway Enumapigateway:POST
apigateway:POST
Z tym uprawnieniem możesz generować klucze API dla skonfigurowanych interfejsów API (na region).
Potencjalne skutki: Nie można podnieść uprawnień za pomocą tej techniki, ale można uzyskać dostęp do wrażliwych informacji.
apigateway:GET
apigateway:GET
Z tym uprawnieniem można uzyskać wygenerowane klucze API skonfigurowanych interfejsów API (na region).
Potencjalne skutki: Nie można podnieść uprawnień za pomocą tej techniki, ale można uzyskać dostęp do wrażliwych informacji.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Z tymi uprawnieniami można zmodyfikować politykę zasobu API, aby uzyskać dostęp do jego wywołania i wykorzystać potencjalny dostęp, który może mieć brama API (np. wywołanie podatnej lambdy).
Potencjalne skutki: Zwykle nie będziesz w stanie uzyskać podwyższenia uprawnień bezpośrednio za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Wymaga testowania
Atakujący posiadający uprawnienia apigateway:PutIntegration
, apigateway:CreateDeployment
i iam:PassRole
może dodać nową integrację do istniejącego interfejsu API Gateway REST API z funkcją Lambda, która ma przypisaną rolę IAM. Atakujący może następnie uruchomić funkcję Lambda w celu wykonania dowolnego kodu i potencjalnie uzyskać dostęp do zasobów powiązanych z rolą IAM.
Potencjalne skutki: Dostęp do zasobów powiązanych z rolą IAM funkcji Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Wymaga testowania
Atakujący posiadający uprawnienia apigateway:UpdateAuthorizer
i apigateway:CreateDeployment
może modyfikować istniejącego autoryzatora bramy API w celu ominięcia kontroli bezpieczeństwa lub wykonania dowolnego kodu podczas wykonywania żądań API.
Potencjalne skutki: Ominięcie kontroli bezpieczeństwa, nieautoryzowany dostęp do zasobów interfejsu API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Wymaga testowania
Atakujący posiadający uprawnienia apigateway:UpdateVpcLink
może modyfikować istniejące połączenie VPC, aby wskazywało na inny Network Load Balancer, potencjalnie przekierowując prywatny ruch API do nieautoryzowanych lub złośliwych zasobów.
Potencjalne skutki: Nieautoryzowany dostęp do prywatnych zasobów API, przechwycenie lub zakłócenie ruchu API.
Last updated