diff --git a/README.md b/README.md new file mode 100644 index 000000000..ac7fefdaf --- /dev/null +++ b/README.md @@ -0,0 +1,34 @@ +# HackTricks Cloud + +{{#include ./banners/hacktricks-training.md}} + +
+ +_Hacktricks logos & motion designed by_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._ + +> [!TIP] +> 欢迎来到这个页面,在这里你将找到我在 **CTFs**、**真实**生活**环境**、**研究**以及**阅读**研究和新闻中学到的与 **CI/CD & Cloud** 相关的每一个 **黑客技巧/技术/其他**。 + +### **Pentesting CI/CD Methodology** + +**在 HackTricks CI/CD 方法论中,你将找到如何对与 CI/CD 活动相关的基础设施进行渗透测试。** 阅读以下页面以获取 **介绍:** + +[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md) + +### Pentesting Cloud Methodology + +**在 HackTricks Cloud 方法论中,你将找到如何对云环境进行渗透测试。** 阅读以下页面以获取 **介绍:** + +[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md) + +### License & Disclaimer + +**查看它们在:** + +[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) + +### Github Stats + +![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) + +{{#include ./banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md index 80e6d4960..7518a2b9a 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md +++ b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md @@ -9,11 +9,11 @@ Azure Static Web Apps 是一个云服务,用于托管 **来自 GitHub 等代 ### 部署身份验证 > [!TIP] -> 创建静态应用时,您可以在 **部署授权策略** 之间选择 **部署令牌** 和 **GitHub Actions 工作流**。 +> 创建静态应用时,您可以选择 **部署授权策略**,包括 **部署令牌** 和 **GitHub Actions 工作流**。 -- **部署令牌**:生成一个令牌并用于验证部署过程。任何拥有 **此令牌的人都足以部署应用的新版本**。每当代码库更新时,**Github Action 会自动在代码库中部署**,并将令牌作为秘密用于部署应用的新版本。 -- **GitHub Actions 工作流**:在这种情况下,代码库中也会部署一个非常相似的 Github Action,**令牌也存储在秘密中**。然而,这个 Github Action 有一个不同之处,它使用 **`actions/github-script@v6`** 动作来获取代码库的 IDToken 并用它来部署应用。 -- 即使在这两种情况下,动作 **`Azure/static-web-apps-deploy@v1`** 都是使用 `azure_static_web_apps_api_token` 参数中的令牌,但在第二种情况下,格式有效的随机令牌如 `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` 就足以部署应用,因为授权是通过 `github_id_token` 参数中的 IDToken 完成的。 +- **部署令牌**:生成一个令牌并用于验证部署过程。任何拥有 **此令牌的人都足以部署应用的新版本**。每次更新代码库时,**Github Action 会自动在代码库中部署**,并将令牌存储在一个秘密中以部署应用的新版本。 +- **GitHub Actions 工作流**:在这种情况下,代码库中也会部署一个非常相似的 Github Action,**令牌也存储在一个秘密中**。然而,这个 Github Action 有一个不同之处,它使用 **`actions/github-script@v6`** 动作来获取代码库的 IDToken 并用它来部署应用。 +- 即使在这两种情况下,动作 **`Azure/static-web-apps-deploy@v1`** 都是使用 `azure_static_web_apps_api_token` 参数中的令牌,但在第二种情况下,格式有效的随机令牌,如 `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345`,就足以部署应用,因为授权是通过 `github_id_token` 参数中的 IDToken 完成的。 ### Web 应用基本身份验证 @@ -23,7 +23,7 @@ Azure Static Web Apps 是一个云服务,用于托管 **来自 GitHub 等代
-可以查看 **是否使用了任何密码** 以及哪些环境受到保护: +可以查看 **是否正在使用任何密码** 以及哪些环境受到保护: ```bash az rest --method GET \ --url "/subscriptions//resourceGroups/Resource_Group_1/providers/Microsoft.Web/staticSites//config/basicAuth?api-version=2024-04-01" @@ -117,7 +117,7 @@ az staticwebapp backends show --name --resource-group ## 权限提升和后期利用 -有关 Azure 静态 Web 应用中权限提升和后期利用的所有信息可以在以下链接找到: +有关 Azure 静态 Web 应用中权限提升和后期利用的所有信息可以在以下链接中找到: {{#ref}} ../az-privilege-escalation/az-static-web-apps-privesc.md