AWS - API Gateway Unauthenticated Enum
Kupuuza Wito wa API
Kulingana na mazungumzo Mbinu za Mashambulizi kwa APIs Zinazotumia Waandishi wa Lambda wa AWS API Gateway - Alexandre & Leonardo, Waandishi wa Lambda wanaweza kusanidiwa kwa kutumia sintaksia ya IAM kutoa ruhusa za kuita vituo vya API. Hii imetolewa kutoka kwenye nyaraka:
Tatizo na njia hii ya kutoa ruhusa ya kuita mwisho ni kwamba "*" inamaanisha "chochote" na hakuna tena msaada wa sintaksia ya regex.
Baadhi ya mifano:
Kanuni kama vile
arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/*
ili kumpa kila mtumiaji ufikiaji wa/dashboard/user/{username}
itawapa ufikiaji wa njia nyingine kama vile/admin/dashboard/createAdmin
kwa mfano.
Tambua kwamba "*" haikomi kupanuka na vishwa, kwa hivyo, ikiwa utatumia "*" katika api-id kwa mfano, inaweza pia kuashiria "hatua yoyote" au "njia yoyote" ikiwa regex ya mwisho bado ni halali.
Kwa hivyo arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/*
Inaweza kuthibitisha ombi la post kwa hatua ya majaribio kwa njia /prod/GET/dashboard/admin
kwa mfano.
Daima unapaswa kuwa na wazi kile unachotaka kuruhusu kupata ufikiaji kisha angalia ikiwa hali zingine zinawezekana na ruhusa zilizotolewa.
Kwa habari zaidi, mbali na nyaraka, unaweza kupata nambari ya kutekeleza waandikishaji katika github rasmi ya aws hii.
Uingizaji wa Sera ya IAM
Katika mazungumzo hayo inaonyesha ukweli kwamba ikiwa nambari inatumia matokeo ya mtumiaji ku zalisha sera za IAM, vivuli (na vingine kama vile "." au herufi maalum) vinaweza kujumuishwa hapo na lengo la kupita kwa vizuizi.
Kiolesura cha URL ya Umma
Pata ID ya Akaunti kutoka kwa URL ya API Gateway ya umma
Kama ilivyo na S3 buckets, Data Exchange na Lambda URLs gateways, Inawezekana kupata ID ya akaunti ya akaunti kwa kukiuka aws:ResourceAccount
Policy Condition Key kutoka kwa URL ya API Gateway ya umma. Hii hufanywa kwa kupata ID ya akaunti kwa herufi moja baada ya nyingine kwa kukiuka wildcards katika sehemu ya aws:ResourceAccount
ya sera.
Mbinu hii pia inaruhusu kupata thamani za vitambulisho ikiwa unajua ufunguo wa lebo (kuna baadhi ya default ya kuvutia).
Unaweza kupata maelezo zaidi katika utafiti wa awali na zana conditional-love kwa kiotomatiki hiki cha unyanyasaji.
Last updated