AWS - STS Privesc
STS
sts:AssumeRole
sts:AssumeRole
Kila jukumu linaundwa na sera ya uaminifu wa jukumu, sera hii inaonyesha nani anaweza kudai jukumu lililoundwa. Ikiwa jukumu kutoka akaunti ile ile inasema kuwa akaunti inaweza kulidai, inamaanisha kuwa akaunti hiyo itaweza kupata jukumu hilo (na kwa uwezekano wa privesc).
Kwa mfano, sera ya uaminifu ya jukumu ifuatayo inaonyesha kuwa yeyote anaweza kulidai, hivyo mtumiaji yeyote ataweza kufanya privesc kwa ruhusa zinazohusiana na jukumu hilo.
Unaweza kujifanya kuwa jukumu linaloendeshwa:
Matokeo Yanayowezekana: Privesc kwa jukumu.
Tafadhali elewa kwamba katika kesi hii idhini sts:AssumeRole
inahitaji kuonyeshwa katika jukumu la kutumia na sio katika sera inayomilikiwa na mshambuliaji.
Isipokuwa, ili kudai jukumu kutoka kwenye akaunti tofauti akaunti ya mshambuliaji pia inahitaji kuwa na sts:AssumeRole
juu ya jukumu hilo.
sts:AssumeRoleWithSAML
sts:AssumeRoleWithSAML
Sera ya uaminifu na jukumu hili inaruhusu watumiaji waliothibitishwa kupitia SAML kupata uwezo wa kujifanya kuwa jukumu hilo.
Mfano wa sera ya uaminifu na idhini hii ni:
Kuzalisha sifa za kujifanya kuwa jukumu kwa ujumla unaweza kutumia kitu kama:
Lakini watoa huduma wanaweza kuwa na zana zao wenyewe za kufanya hili kuwa rahisi, kama onelogin-aws-assume-role:
Athari Inayowezekana: Privesc kwa jukumu.
sts:AssumeRoleWithWebIdentity
sts:AssumeRoleWithWebIdentity
Ruhusa hii inatoa idhini ya kupata seti ya siri za muda kwa watumiaji ambao wamehakikiwa katika programu ya simu, wavuti, EKS... na mtoa huduma ya kitambulisho cha wavuti. Jifunze zaidi hapa.
Kwa mfano, ikiwa akaunti ya huduma ya EKS inapaswa kuweza kujifanya kuwa jukumu la IAM, itakuwa na ishara katika /var/run/secrets/eks.amazonaws.com/serviceaccount/token
na inaweza kudai jukumu na kupata siri kwa kufanya kitu kama:
Matumizi ya Ufikiaji wa Shirikisho
pageAWS - Federation AbuseLast updated