AWS - ECR Unauthenticated Enum
ECR
Aby uzyskać więcej informacji, sprawdź:
pageAWS - ECR EnumPubliczne rejestry repozytoriów (obrazy)
Jak wspomniano w sekcji Enumeracji ECS, publiczny rejestr jest dostępny dla każdego i ma format public.ecr.aws/<random>/<name>
. Jeśli atakujący znajdzie publiczny adres URL repozytorium, może pobrać obraz i szukać wrażliwych informacji w metadanych i zawartości obrazu.
To może również mieć miejsce w prywatnych rejestrach, gdzie polityka rejestru lub polityka repozytorium udziela dostępu na przykład do "AWS": "*"
. Każda osoba posiadająca konto AWS może uzyskać dostęp do tego repozytorium.
Wyliczanie prywatnego repozytorium
Narzędzia skopeo i crane mogą być używane do wylistowania dostępnych repozytoriów wewnątrz prywatnego rejestru.
Last updated