mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-02-04 11:07:37 -08:00
Translated ['src/pentesting-cloud/azure-security/az-persistence/az-cloud
This commit is contained in:
Translator
@@ -77,6 +77,8 @@ def ref(matchobj):
|
||||
logger.error(f'Error getting chapter title: {path.normpath(path.join(dir,href))}')
|
||||
sys.exit(1)
|
||||
|
||||
if href.endswith("/README.md"):
|
||||
href = href.replace("/README.md", "/index.html")
|
||||
|
||||
template = f"""<a class="content_ref" href="{href}"><span class="content_ref_label">{title}</span></a>"""
|
||||
|
||||
|
||||
@@ -398,8 +398,8 @@
|
||||
- [Az - Enumeration Tools](pentesting-cloud/azure-security/az-enumeration-tools.md)
|
||||
- [Az - Unauthenticated Enum & Initial Entry](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md)
|
||||
- [Az - OAuth Apps Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md)
|
||||
- [Az - Storage Unath](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md)
|
||||
- [Az - VMs Unath](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md)
|
||||
- [Az - Storage Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md)
|
||||
- [Az - VMs Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md)
|
||||
- [Az - Device Code Authentication Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md)
|
||||
- [Az - Password Spraying](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-password-spraying.md)
|
||||
- [Az - Services](pentesting-cloud/azure-security/az-services/README.md)
|
||||
|
||||
@@ -19,10 +19,10 @@ Learn & practice GCP Hacking: <img src="../../../.gitbook/assets/image (2) (1).p
|
||||
|
||||
Azure Cloud Shell offre un accès en ligne de commande pour gérer les ressources Azure avec un stockage persistant et une authentification automatique. Les attaquants peuvent en profiter en plaçant des portes dérobées dans le répertoire personnel persistant :
|
||||
|
||||
* **Stockage Persistant** : Le répertoire personnel d'Azure Cloud Shell est monté sur un partage de fichiers Azure et reste intact même après la fin de la session.
|
||||
* **Stockage Persistant** : Le répertoire personnel de Azure Cloud Shell est monté sur un partage de fichiers Azure et reste intact même après la fin de la session.
|
||||
* **Scripts de Démarrage** : Des fichiers comme .bashrc s'exécutent automatiquement au début de chaque session, permettant une exécution persistante lorsque le cloud shell démarre.
|
||||
|
||||
Example backdoor in .bashrc:
|
||||
Exemple de porte dérobée dans .bashrc :
|
||||
|
||||
{% code overflow="wrap" %}
|
||||
```bash
|
||||
@@ -48,9 +48,9 @@ Apprenez et pratiquez le hacking GCP : <img src="../../../.gitbook/assets/image
|
||||
|
||||
<summary>Soutenir HackTricks</summary>
|
||||
|
||||
* Consultez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
|
||||
* Vérifiez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
|
||||
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous sur** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
|
||||
* **Partagez des astuces de hacking en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
|
||||
* **Partagez des astuces de hacking en soumettant des PR au** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
||||
@@ -23,7 +23,7 @@ Pour plus d'informations sur les applications logiques, consultez :
|
||||
{% endcontent-ref %}
|
||||
|
||||
### "Microsoft.Logic/workflows/read", "Microsoft.Logic/workflows/write" && "Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
|
||||
Avec ces autorisations, vous pouvez modifier les workflows des applications logiques et gérer leurs identités. Plus précisément, vous pouvez attribuer ou supprimer des identités gérées assignées par le système et par l'utilisateur aux workflows, ce qui permet à l'application logique de s'authentifier et d'accéder à d'autres ressources Azure sans identifiants explicites.
|
||||
Avec ces autorisations, vous pouvez modifier les workflows des Logic Apps et gérer leurs identités. Plus précisément, vous pouvez attribuer ou supprimer des identités gérées assignées par le système et par l'utilisateur aux workflows, ce qui permet à la Logic App de s'authentifier et d'accéder à d'autres ressources Azure sans identifiants explicites.
|
||||
|
||||
{% code overflow="wrap" %}
|
||||
```bash
|
||||
@@ -171,10 +171,10 @@ Apprenez et pratiquez le hacking GCP : <img src="../../../.gitbook/assets/image
|
||||
|
||||
<details>
|
||||
|
||||
<summary>Supportez HackTricks</summary>
|
||||
<summary>Soutenez HackTricks</summary>
|
||||
|
||||
* Consultez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
|
||||
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous sur** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
|
||||
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
|
||||
* **Partagez des astuces de hacking en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
|
||||
|
||||
</details>
|
||||
|
||||
@@ -8,9 +8,9 @@ Apprenez et pratiquez le hacking GCP : <img src="../../../.gitbook/assets/image
|
||||
|
||||
<summary>Soutenir HackTricks</summary>
|
||||
|
||||
* Consultez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
|
||||
* Vérifiez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
|
||||
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous sur** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
|
||||
* **Partagez des astuces de hacking en soumettant des PR au** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
|
||||
* **Partagez des astuces de hacking en soumettant des PRs aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
||||
@@ -70,7 +70,7 @@ Les App Services permettent de télécharger le code sous forme de fichier zip p
|
||||
|
||||
## Webjobs
|
||||
|
||||
Les Azure WebJobs sont des **tâches d'arrière-plan qui s'exécutent dans l'environnement Azure App Service**. Ils permettent aux développeurs d'exécuter des scripts ou des programmes aux côtés de leurs applications web, facilitant ainsi la gestion des opérations asynchrones ou intensives en temps, telles que le traitement de fichiers, la gestion de données ou les tâches planifiées.
|
||||
Les Azure WebJobs sont des **tâches d'arrière-plan qui s'exécutent dans l'environnement Azure App Service**. Ils permettent aux développeurs d'exécuter des scripts ou des programmes aux côtés de leurs applications web, facilitant ainsi la gestion des opérations asynchrones ou intensives en temps telles que le traitement de fichiers, la gestion de données ou les tâches planifiées.
|
||||
Il existe 2 types de web jobs :
|
||||
- **Continu** : S'exécute indéfiniment dans une boucle et est déclenché dès sa création. Il est idéal pour les tâches nécessitant un traitement constant. Cependant, si l'application cesse de fonctionner parce que Always On est désactivé et qu'elle n'a pas reçu de demande au cours des 20 dernières minutes, le web job s'arrêtera également.
|
||||
- **Déclenché** : S'exécute à la demande ou selon un calendrier. Il est mieux adapté aux tâches périodiques, telles que les mises à jour de données par lots ou les routines de maintenance.
|
||||
@@ -83,13 +83,13 @@ De plus, il est toujours intéressant de vérifier les **journaux** générés p
|
||||
|
||||
Les Azure App Service Slots sont utilisés pour **déployer différentes versions de l'application** sur le même App Service. Cela permet aux développeurs de tester de nouvelles fonctionnalités ou modifications dans un environnement séparé avant de les déployer dans l'environnement de production.
|
||||
|
||||
De plus, il est possible de diriger un **pourcentage du trafic** vers un slot spécifique, ce qui est utile pour les tests A/B, et à des fins de **backdoor**.
|
||||
De plus, il est possible de diriger un **pourcentage du trafic** vers un slot spécifique, ce qui est utile pour les tests A/B, et pour des **fins de backdoor**.
|
||||
|
||||
## Azure Function Apps
|
||||
|
||||
Fondamentalement, **les Azure Function apps sont un sous-ensemble d'Azure App Service** dans la console web et si vous allez à la console web et listez tous les services d'application ou exécutez `az webapp list` dans az cli, vous pourrez **voir les Function apps également listées là**.
|
||||
|
||||
Par conséquent, les deux services ont en fait principalement les **mêmes configurations, fonctionnalités et options dans l'az cli**, bien qu'ils puissent les configurer un peu différemment (comme les valeurs par défaut des appsettings ou l'utilisation d'un compte de stockage dans les Function apps).
|
||||
Par conséquent, les deux services ont en fait principalement les **mêmes configurations, fonctionnalités et options dans az cli**, bien qu'ils puissent les configurer un peu différemment (comme les valeurs par défaut des appsettings ou l'utilisation d'un compte de stockage dans les Function apps).
|
||||
|
||||
## Énumération
|
||||
|
||||
|
||||
@@ -17,16 +17,16 @@ Apprenez et pratiquez le hacking GCP : <img src="../../../.gitbook/assets/image
|
||||
|
||||
## Azure Cloud Shell
|
||||
|
||||
**Azure Cloud Shell** est un terminal interactif, authentifié et accessible via un navigateur, conçu pour gérer les ressources Azure, offrant la flexibilité de travailler avec Bash ou PowerShell. Il fonctionne sur un hôte temporaire, par session, qui expire après 20 minutes d'inactivité, tout en conservant les fichiers dans l'emplacement $HOME à l'aide d'un partage de fichiers de 5 Go. Cloud Shell peut être accessible à partir de plusieurs points, y compris le portail Azure, shell.azure.com, la documentation Azure CLI et PowerShell, l'application mobile Azure, et l'extension Azure Account de Visual Studio Code.
|
||||
**Azure Cloud Shell** est un terminal interactif, authentifié et accessible via un navigateur, conçu pour gérer les ressources Azure, offrant la flexibilité de travailler avec Bash ou PowerShell. Il fonctionne sur un hôte temporaire, par session, qui expire après 20 minutes d'inactivité, tout en conservant les fichiers dans l'emplacement $HOME à l'aide d'un partage de fichiers de 5 Go. Cloud Shell peut être accessible par plusieurs points, y compris le portail Azure, shell.azure.com, la documentation Azure CLI et PowerShell, l'application mobile Azure, et l'extension Azure Account de Visual Studio Code.
|
||||
|
||||
Aucune autorisation n'est assignée à ce service, donc il n'y a pas de techniques d'escalade de privilèges. De plus, il n'y a pas de type d'énumération.
|
||||
Il n'y a pas de permissions assignées à ce service, donc il n'y a pas de techniques d'escalade de privilèges. De plus, il n'y a pas de type d'énumération.
|
||||
|
||||
### Caractéristiques clés
|
||||
|
||||
**Environnement** : Azure Cloud Shell fournit un environnement sécurisé en fonctionnant sur Azure Linux, la distribution Linux propre à Microsoft conçue pour l'infrastructure cloud. Tous les paquets inclus dans le dépôt Azure Linux sont compilés en interne par Microsoft pour se protéger contre les attaques de la chaîne d'approvisionnement.
|
||||
**Outils préinstallés** : Cloud Shell comprend un ensemble complet d'outils préinstallés tels qu'Azure CLI, Azure PowerShell, Terraform, Docker CLI, Ansible, Git, et des éditeurs de texte comme vim, nano et emacs. Ces outils sont prêts à l'emploi. Pour lister les paquets et modules installés, vous pouvez utiliser "Get-Module -ListAvailable", "tdnf list" et "pip3 list".
|
||||
**Persistance $HOME** : Lors du premier démarrage d'Azure Cloud Shell, vous pouvez l'utiliser avec ou sans un compte de stockage attaché. Choisir de ne pas attacher de stockage crée une session éphémère où les fichiers sont supprimés à la fin de la session. Pour persister les fichiers entre les sessions, montez un compte de stockage, qui s'attache automatiquement comme **$HOME\clouddrive**, avec votre répertoire **$HOME** sauvegardé sous forme de fichier **.img** dans Azure File Share. Cependant, les fichiers en dehors de $HOME et les états de machine ne sont pas persistés. Pour stocker en toute sécurité des secrets comme des clés SSH, utilisez Azure Key Vault.
|
||||
**Lecteur Azure (Azure:)** : PowerShell dans Azure Cloud Shell inclut le lecteur Azure (Azure :), qui permet une navigation facile des ressources Azure comme Compute, Network et Storage en utilisant des commandes similaires à celles du système de fichiers. Passez au lecteur Azure avec cd Azure: et revenez à votre répertoire personnel avec cd ~. Vous pouvez toujours utiliser les cmdlets Azure PowerShell pour gérer les ressources depuis n'importe quel lecteur.
|
||||
**Outils préinstallés** : Cloud Shell comprend un ensemble complet d'outils préinstallés tels qu'Azure CLI, Azure PowerShell, Terraform, Docker CLI, Ansible, Git, et des éditeurs de texte comme vim, nano, et emacs. Ces outils sont prêts à l'emploi. Pour lister les paquets et modules installés, vous pouvez utiliser "Get-Module -ListAvailable", "tdnf list" et "pip3 list".
|
||||
**Persistance $HOME** : Lors du premier démarrage d'Azure Cloud Shell, vous pouvez l'utiliser avec ou sans un compte de stockage attaché. Choisir de ne pas attacher de stockage crée une session éphémère où les fichiers sont supprimés à la fin de la session. Pour persister des fichiers entre les sessions, montez un compte de stockage, qui s'attache automatiquement comme **$HOME\clouddrive**, avec votre répertoire **$HOME** sauvegardé sous forme de fichier **.img** dans Azure File Share. Cependant, les fichiers en dehors de $HOME et les états de machine ne sont pas persistés. Pour stocker en toute sécurité des secrets comme des clés SSH, utilisez Azure Key Vault.
|
||||
**Lecteur Azure (Azure:)** : PowerShell dans Azure Cloud Shell inclut le lecteur Azure (Azure :), qui permet une navigation facile des ressources Azure comme Compute, Network, et Storage en utilisant des commandes similaires à celles du système de fichiers. Passez au lecteur Azure avec cd Azure: et revenez à votre répertoire personnel avec cd ~. Vous pouvez toujours utiliser les cmdlets Azure PowerShell pour gérer les ressources depuis n'importe quel lecteur.
|
||||
**Installation d'outils personnalisés** : Les utilisateurs qui configurent Cloud Shell avec un compte de stockage peuvent installer des outils supplémentaires qui ne nécessitent pas de permissions root. Cette fonctionnalité permet une personnalisation supplémentaire de l'environnement Cloud Shell, permettant aux utilisateurs d'adapter leur configuration à leurs besoins spécifiques.
|
||||
|
||||
## Références
|
||||
|
||||
@@ -173,7 +173,7 @@ print(item)
|
||||
```
|
||||
{% endcode %}
|
||||
|
||||
Une autre façon d'établir une connexion est d'utiliser le **DefaultAzureCredential()**. Il suffit de se connecter (az login) avec le compte qui a les autorisations et de l'exécuter. Dans ce cas, une attribution de rôle doit être effectuée, en donnant les autorisations nécessaires (voir pour plus)
|
||||
Une autre façon d'établir une connexion est d'utiliser le **DefaultAzureCredential()**. Il suffit de se connecter (az login) avec le compte qui a les permissions et de l'exécuter. Dans ce cas, une attribution de rôle doit être effectuée, en donnant les permissions nécessaires (voir pour plus)
|
||||
|
||||
{% code overflow="wrap" %}
|
||||
```python
|
||||
|
||||
@@ -14,7 +14,7 @@
|
||||
- **Flex Consumption Plan** : Offre un **scalabilité dynamique et basée sur les événements** avec un tarif à l'utilisation, ajoutant ou supprimant des instances de fonction en fonction de la demande. Il prend en charge **le réseau virtuel** et **les instances pré-provisionnées** pour réduire les démarrages à froid, ce qui le rend adapté aux **charges de travail variables** qui ne nécessitent pas de support de conteneur.
|
||||
- **Traditional Consumption Plan** : L'option sans serveur par défaut, où vous **ne payez que pour les ressources de calcul lorsque les fonctions s'exécutent**. Il s'adapte automatiquement en fonction des événements entrants et inclut des **optimisations de démarrage à froid**, mais ne prend pas en charge les déploiements de conteneurs. Idéal pour les **charges de travail intermittentes** nécessitant une mise à l'échelle automatique.
|
||||
- **Premium Plan** : Conçu pour des **performances constantes**, avec des **travailleurs préchauffés** pour éliminer les démarrages à froid. Il offre **des temps d'exécution prolongés, un réseau virtuel**, et prend en charge **des images Linux personnalisées**, ce qui le rend parfait pour des **applications critiques** nécessitant des performances élevées et des fonctionnalités avancées.
|
||||
- **Dedicated Plan** : Fonctionne sur des machines virtuelles dédiées avec une **facturation prévisible** et prend en charge la mise à l'échelle manuelle ou automatique. Il permet d'exécuter plusieurs applications sur le même plan, fournit **une isolation de calcul**, et garantit un **accès réseau sécurisé** via des environnements de service d'application, ce qui le rend idéal pour des **applications de longue durée** nécessitant une allocation de ressources constante.
|
||||
- **Dedicated Plan** : Fonctionne sur des machines virtuelles dédiées avec une **facturation prévisible** et prend en charge la mise à l'échelle manuelle ou automatique. Il permet d'exécuter plusieurs applications sur le même plan, fournit **une isolation de calcul**, et assure un **accès réseau sécurisé** via des environnements de service d'application, ce qui le rend idéal pour des **applications de longue durée** nécessitant une allocation de ressources constante.
|
||||
- **Container Apps** : Permet de déployer des **applications de fonction conteneurisées** dans un environnement géré, aux côtés de microservices et d'APIs. Il prend en charge des bibliothèques personnalisées, la migration d'applications héritées, et le **traitement GPU**, éliminant la gestion des clusters Kubernetes. Idéal pour des **applications conteneurisées évolutives basées sur des événements**.
|
||||
|
||||
### **Buckets de stockage**
|
||||
@@ -32,7 +32,7 @@ Il est également possible de trouver les **clés maître et fonctions** stocké
|
||||
|
||||
Notez que les fonctions permettent également de stocker le code dans un emplacement distant en indiquant simplement l'URL.
|
||||
|
||||
### Réseautage
|
||||
### Réseautique
|
||||
|
||||
En utilisant un déclencheur HTTP :
|
||||
|
||||
@@ -69,7 +69,7 @@ Il est possible d'utiliser les [**scripts PEASS**](https://github.com/peass-ng/P
|
||||
|
||||
{% embed url="https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html#azure-vm" %}
|
||||
|
||||
Notez que vous devez trouver un moyen de **vérifier toutes les identités gérées qu'une fonction a attachées** car si vous ne l'indiquez pas, le point de terminaison des métadonnées **n'utilisera que la par défaut** (voir le lien précédent pour plus d'informations).
|
||||
Notez que vous devez trouver un moyen de **vérifier toutes les identités gérées qu'une fonction a attachées** car si vous ne l'indiquez pas, le point de terminaison des métadonnées **n'utilisera que la par défaut** (voir le lien précédent pour plus d'infos).
|
||||
|
||||
## Clés d'accès
|
||||
|
||||
@@ -104,7 +104,7 @@ az-app-services.md
|
||||
|
||||
### Déploiements basés sur Github
|
||||
|
||||
Lorsqu'une fonction est générée à partir d'un dépôt Github, la console web Azure permet de **créer automatiquement un workflow Github dans un dépôt spécifique** afin que chaque fois que ce dépôt est mis à jour, le code de la fonction soit mis à jour. En fait, le yaml de l'action Github pour une fonction Python ressemble à ceci :
|
||||
Lorsqu'une fonction est générée à partir d'un dépôt Github, la console web Azure permet de **créer automatiquement un Workflow Github dans un dépôt spécifique** afin que chaque fois que ce dépôt est mis à jour, le code de la fonction soit mis à jour. En fait, le yaml de l'action Github pour une fonction Python ressemble à ceci :
|
||||
|
||||
<details>
|
||||
|
||||
|
||||
@@ -19,11 +19,11 @@ Il est possible de visualiser un LogicApp avec des graphiques :
|
||||
|
||||
<figure><img src="../../../images/image (197).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
ou de vérifier le code dans la section "**Vue du code de l'application logique**".
|
||||
ou de vérifier le code dans la section "**Vue du code de l'application Logic**".
|
||||
|
||||
### Protection SSRF
|
||||
|
||||
Même si vous trouvez que la **Logic App est vulnérable au SSRF**, vous ne pourrez pas accéder aux identifiants depuis les métadonnées car Logic Apps ne le permet pas.
|
||||
Même si vous trouvez l'**Application Logic vulnérable au SSRF**, vous ne pourrez pas accéder aux identifiants depuis les métadonnées car Logic Apps ne le permet pas.
|
||||
|
||||
Par exemple, quelque chose comme ceci ne renverra pas le token :
|
||||
```bash
|
||||
@@ -38,7 +38,7 @@ Il existe plusieurs options d'hébergement :
|
||||
- **Multi-tenant** : fournit des ressources de calcul partagées, fonctionne dans le cloud public et suit un modèle de tarification à la consommation. Cela est idéal pour des charges de travail légères et rentables.
|
||||
* **Standard**
|
||||
- **Workflow Service Plan** : ressources de calcul dédiées avec intégration VNET pour le réseau et facturation par instance de plan de service de flux de travail. Il convient aux charges de travail plus exigeantes nécessitant un plus grand contrôle.
|
||||
- **App Service Environment V3** ressources de calcul dédiées avec isolation complète et évolutivité. Il s'intègre également avec VNET pour le réseau et utilise un modèle de tarification basé sur les instances de service d'application au sein de l'environnement. Cela est idéal pour les applications à l'échelle de l'entreprise nécessitant une haute isolation.
|
||||
- **App Service Environment V3** ressources de calcul dédiées avec isolation complète et évolutivité. Il s'intègre également avec VNET pour le réseau et utilise un modèle de tarification basé sur les instances de service d'application au sein de l'environnement. Cela est idéal pour des applications à l'échelle d'entreprise nécessitant une haute isolation.
|
||||
- **Hybride** conçu pour le traitement local et le support multi-cloud. Il permet des ressources de calcul gérées par le client avec accès au réseau local et utilise l'autoscaling basé sur les événements Kubernetes (KEDA).
|
||||
|
||||
### Énumération
|
||||
@@ -153,7 +153,7 @@ Get-AzLogicAppTriggerHistory -ResourceGroupName "<ResourceGroupName>" -Name "<Lo
|
||||
* Partenaires : Gérer les informations sur les partenaires commerciaux pour les transactions B2B, permettant des intégrations sans faille.
|
||||
* Accords : Configurer des règles et des paramètres pour échanger des données avec des partenaires commerciaux (par exemple, EDI, AS2).
|
||||
* Configurations de lot : Gérer les configurations de traitement par lot pour regrouper et traiter les messages efficacement.
|
||||
* RosettaNet PIP : Configurer les processus d'interface partenaire RosettaNet (PIPs) pour standardiser la communication B2B.
|
||||
* RosettaNet PIP : Configurer les processus d'interface de partenaire RosettaNet (PIPs) pour standardiser la communication B2B.
|
||||
|
||||
#### Énumération
|
||||
|
||||
|
||||
@@ -15,8 +15,8 @@ Azure Service Bus est un **service de messagerie** basé sur le cloud conçu pou
|
||||
2. **Topics :** Messagerie publish-subscribe pour la diffusion.
|
||||
- Plusieurs abonnements indépendants reçoivent des copies des messages.
|
||||
- Les abonnements peuvent avoir des règles/filtres pour contrôler la livraison ou ajouter des métadonnées.
|
||||
- Prend en charge la communication plusieurs à plusieurs.
|
||||
3. **Namespaces :** Un conteneur pour tous les composants de messagerie, files d'attente et sujets, est comme votre propre part d'un puissant cluster Azure, fournissant une capacité dédiée et s'étendant éventuellement sur trois zones de disponibilité.
|
||||
- Prend en charge la communication plusieurs-à-plusieurs.
|
||||
3. **Namespaces :** Un conteneur pour tous les composants de messagerie, les files d'attente et les sujets, est comme votre propre part d'un puissant cluster Azure, fournissant une capacité dédiée et s'étendant éventuellement sur trois zones de disponibilité.
|
||||
|
||||
### Fonctionnalités Avancées
|
||||
|
||||
@@ -35,7 +35,7 @@ Certaines fonctionnalités avancées sont :
|
||||
|
||||
### Authorization-Rule / SAS Policy
|
||||
|
||||
Les politiques SAS définissent les autorisations d'accès pour les entités Azure Service Bus namespace (la plus importante), files d'attente et sujets. Chaque politique a les composants suivants :
|
||||
Les politiques SAS définissent les autorisations d'accès pour les entités Azure Service Bus namespace (le plus important), les files d'attente et les sujets. Chaque politique a les composants suivants :
|
||||
|
||||
- **Permissions** : Cases à cocher pour spécifier les niveaux d'accès :
|
||||
- Manage : Accorde un contrôle total sur l'entité, y compris la configuration et la gestion des autorisations.
|
||||
|
||||
@@ -73,7 +73,7 @@ L'URL de staging a ce format : `https://<app-subdomain>-<PR-num>.<region>.<res-o
|
||||
|
||||
Azure Static Web Apps peut être configuré pour utiliser **des identités gérées**, cependant, comme mentionné dans [cette FAQ](https://learn.microsoft.com/en-gb/azure/static-web-apps/faq#does-static-web-apps-support-managed-identity-), elles ne sont prises en charge que pour **extraire des secrets d'Azure Key Vault à des fins d'authentification, pas pour accéder à d'autres ressources Azure**.
|
||||
|
||||
Pour plus d'infos, vous pouvez trouver un guide Azure sur l'utilisation d'un secret de coffre dans une application statique à https://learn.microsoft.com/en-us/azure/static-web-apps/key-vault-secrets.
|
||||
Pour plus d'informations, vous pouvez trouver un guide Azure sur l'utilisation d'un secret de coffre dans une application statique à https://learn.microsoft.com/en-us/azure/static-web-apps/key-vault-secrets.
|
||||
|
||||
## Énumération
|
||||
|
||||
@@ -169,12 +169,12 @@ Get-AzStaticWebAppUserProvidedFunctionApp -ResourceGroupName <ResourceGroupName>
|
||||
Vous pouvez trouver un bel exemple pour générer une application web dans le lien suivant : [https://learn.microsoft.com/en-us/azure/static-web-apps/get-started-portal?tabs=react&pivots=github](https://learn.microsoft.com/en-us/azure/static-web-apps/get-started-portal?tabs=react&pivots=github)
|
||||
|
||||
1. Forkez le dépôt https://github.com/staticwebdev/react-basic/generate vers votre compte GitHub et nommez-le `my-first-static-web-app`
|
||||
2. Dans le portail Azure, créez une application Web statique en configurant l'accès GitHub et en sélectionnant le nouveau dépôt forké précédemment
|
||||
2. Dans le portail Azure, créez une Static Web App en configurant l'accès GitHub et en sélectionnant le nouveau dépôt forké précédemment
|
||||
3. Créez-le, attendez quelques minutes et vérifiez votre nouvelle page !
|
||||
|
||||
## Escalade de privilèges et post-exploitation
|
||||
|
||||
Toutes les informations sur l'escalade de privilèges et la post-exploitation dans les applications Web statiques Azure peuvent être trouvées dans le lien suivant :
|
||||
Toutes les informations sur l'escalade de privilèges et la post-exploitation dans Azure Static Web Apps peuvent être trouvées dans le lien suivant :
|
||||
|
||||
{{#ref}}
|
||||
../az-privilege-escalation/az-static-web-apps-privesc.md
|
||||
|
||||
Reference in New Issue
Block a user