Kubadilisha Haki za Vifurushi

Ikiwa sera ya kifurushi iliruhusu "allUsers" au "allAuthenticatedUsers" kuandika sera yao ya kifurushi (ruhusa ya storage.buckets.setIamPolicy), basi mtu yeyote anaweza kubadilisha sera ya kifurushi na kujipatia ufikiaji kamili.

Angalia Ruhusa

Kuna njia 2 za kuangalia ruhusa juu ya kifurushi. Ya kwanza ni kuuliza kwa kufanya ombi kwa https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam au kukimbia gsutil iam get gs://BUCKET_NAME.

Hata hivyo, ikiwa mtumiaji wako (labda anamilikiwa na allUsers au allAuthenticatedUsers") hana ruhusa ya kusoma sera ya iam ya kifurushi (storage.buckets.getIamPolicy), hilo halitafanya kazi.

Chaguo lingine ambalo litafanya kazi daima ni kutumia mwisho wa testPermissions wa kifurushi ili kugundua ikiwa una ruhusa iliyotajwa, kwa mfano kupata: https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Kuboresha

Ili kutoa Msimamizi wa Uhifadhi kwa allAuthenticatedUsers inawezekana kukimbia:

gsutil iam ch group:allAuthenticatedUsers:admin gs://BUCKET_NAME

Njia nyingine ya shambulio itakuwa kuondoa sanduku na kulirejesha kwenye akaunti yako ili kuiba umiliki.

Marejeo

• https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/