GCP - Orgpolicy Privesc
orgpolicy
orgpolicy.policy.set
orgpolicy.policy.set
Атакуючи orgpolicy.policy.set, зловмисник може маніпулювати організаційними політиками, що дозволить йому видалити певні обмеження, які перешкоджають певним операціям. Наприклад, обмеження appengine.disableCodeDownload зазвичай блокує завантаження вихідного коду App Engine. Однак, використовуючи orgpolicy.policy.set, зловмисник може деактивувати це обмеження, тим самим отримуючи доступ до завантаження вихідного коду, незважаючи на те, що він спочатку був захищений.
Скрипт на Python для цього методу можна знайти тут.
Посилання
Last updated