AWS - Apigateway Privesc
Apigateway
Aby uzyskać więcej informacji, sprawdź:
AWS - API Gateway Enumapigateway:POST
apigateway:POST
Z tym uprawnieniem możesz generować klucze API skonfigurowane dla interfejsów API (na region).
Potencjalne skutki: Nie można uzyskać podwyższenia uprawnień za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:GET
apigateway:GET
Z tym uprawnieniem możesz uzyskać wygenerowane klucze API skonfigurowanych interfejsów API (na region).
Potencjalne skutki: Nie można uzyskać podwyższenia uprawnień za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Z tymi uprawnieniami możliwe jest modyfikowanie polityki zasobu interfejsu API, aby uzyskać dostęp do jego wywołania i nadużyć potencjalnego dostępu, jaki może mieć brama API (na przykład wywołując podatną lambdę).
Potencjalne skutki: Zazwyczaj nie będziesz w stanie uzyskać podwyższenia uprawnień bezpośrednio za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Wymaga testów
Atakujący posiadający uprawnienia apigateway:PutIntegration
, apigateway:CreateDeployment
i iam:PassRole
może dodać nową integrację do istniejącego interfejsu API Gateway REST API z funkcją Lambda, która ma przypisaną rolę IAM. Następnie atakujący może wywołać funkcję Lambda w celu wykonania arbitralnego kodu i potencjalnie uzyskać dostęp do zasobów powiązanych z rolą IAM.
Potencjalny wpływ: Dostęp do zasobów powiązanych z rolą IAM funkcji Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Wymaga testów
Atakujący posiadający uprawnienia apigateway:UpdateAuthorizer
i apigateway:CreateDeployment
może modyfikować istniejącego autoryzatora bramy API w celu ominięcia kontroli bezpieczeństwa lub wykonania arbitralnego kodu podczas wysyłania żądań API.
Potencjalne skutki: Ominięcie kontroli bezpieczeństwa, nieautoryzowany dostęp do zasobów interfejsu API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Wymaga testowania
Atakujący posiadający uprawnienia apigateway:UpdateVpcLink
może zmodyfikować istniejące łącze VPC, aby wskazywało na inny Network Load Balancer, potencjalnie przekierowując ruch prywatnego interfejsu API do nieautoryzowanych lub złośliwych zasobów.
Potencjalne skutki: Nieautoryzowany dostęp do prywatnych zasobów interfejsu API, przechwycenie lub zakłócenie ruchu API.
Last updated