Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service

2025-12-05 20:40:18 -08:00 · 2025-01-09 08:33:26 +00:00
parent 74bc967bf3
commit 0b4b4a2c0f
2 changed files with 40 additions and 6 deletions
--- a/README.md
+++ b/README.md
@@ -0,0 +1,34 @@
+# HackTricks Cloud
+
+{{#include ./banners/hacktricks-training.md}}
+
+<figure><img src="images/cloud.gif" alt=""><figcaption></figcaption></figure>
+
+_Hacktricks logos & motion designed by_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
+
+> [!TIP]
+> 欢迎来到这个页面，在这里你将找到我在 **CTFs**、**真实**生活**环境**、**研究**以及**阅读**研究和新闻中学到的与 **CI/CD & Cloud** 相关的每一个 **黑客技巧/技术/其他**。
+
+### **Pentesting CI/CD Methodology**
+
+**在 HackTricks CI/CD 方法论中，你将找到如何对与 CI/CD 活动相关的基础设施进行渗透测试。** 阅读以下页面以获取 **介绍：**
+
+[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md)
+
+### Pentesting Cloud Methodology
+
+**在 HackTricks Cloud 方法论中，你将找到如何对云环境进行渗透测试。** 阅读以下页面以获取 **介绍：**
+
+[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md)
+
+### License & Disclaimer
+
+**查看它们在：**
+
+[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq)
+
+### Github Stats
+
+![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg)
+
+{{#include ./banners/hacktricks-training.md}}
--- a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
@@ -9,11 +9,11 @@ Azure Static Web Apps 是一个云服务，用于托管 **来自 GitHub 等代
 ### 部署身份验证

 > [!TIP]
-> 创建静态应用时，您可以在 **部署授权策略** 之间选择 **部署令牌** 和 **GitHub Actions 工作流**。
+> 创建静态应用时，您可以选择 **部署授权策略**，包括 **部署令牌** 和 **GitHub Actions 工作流**。

- **部署令牌**：生成一个令牌并用于验证部署过程。任何拥有 **此令牌的人都足以部署应用的新版本**。每当代码库更新时，**Github Action 会自动在代码库中部署**，并将令牌作为秘密用于部署应用的新版本。
- **GitHub Actions 工作流**：在这种情况下，代码库中也会部署一个非常相似的 Github Action，**令牌也存储在秘密中**。然而，这个 Github Action 有一个不同之处，它使用 **`actions/github-script@v6`** 动作来获取代码库的 IDToken 并用它来部署应用。
- 即使在这两种情况下，动作 **`Azure/static-web-apps-deploy@v1`** 都是使用 `azure_static_web_apps_api_token` 参数中的令牌，但在第二种情况下，格式有效的随机令牌如 `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` 就足以部署应用，因为授权是通过 `github_id_token` 参数中的 IDToken 完成的。
+- **部署令牌**：生成一个令牌并用于验证部署过程。任何拥有 **此令牌的人都足以部署应用的新版本**。每次更新代码库时，**Github Action 会自动在代码库中部署**，并将令牌存储在一个秘密中以部署应用的新版本。
+- **GitHub Actions 工作流**：在这种情况下，代码库中也会部署一个非常相似的 Github Action，**令牌也存储在一个秘密中**。然而，这个 Github Action 有一个不同之处，它使用 **`actions/github-script@v6`** 动作来获取代码库的 IDToken 并用它来部署应用。
+- 即使在这两种情况下，动作 **`Azure/static-web-apps-deploy@v1`** 都是使用 `azure_static_web_apps_api_token` 参数中的令牌，但在第二种情况下，格式有效的随机令牌，如 `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345`，就足以部署应用，因为授权是通过 `github_id_token` 参数中的 IDToken 完成的。

 ### Web 应用基本身份验证

@@ -23,7 +23,7 @@ Azure Static Web Apps 是一个云服务，用于托管 **来自 GitHub 等代

 <figure><img src="../../../images/azure_static_password.png" alt=""><figcaption></figcaption></figure>

-可以查看 **是否使用了任何密码** 以及哪些环境受到保护：
+可以查看 **是否正在使用任何密码** 以及哪些环境受到保护：
 ```bash
 az rest --method GET \
 --url "/subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.Web/staticSites/<app-name>/config/basicAuth?api-version=2024-04-01"
@@ -117,7 +117,7 @@ az staticwebapp backends show --name <name> --resource-group <res-group>

 ## 权限提升和后期利用

-有关 Azure 静态 Web 应用中权限提升和后期利用的所有信息可以在以下链接找到：
+有关 Azure 静态 Web 应用中权限提升和后期利用的所有信息可以在以下链接中找到：

 {{#ref}}
 ../az-privilege-escalation/az-static-web-apps-privesc.md