gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-06 04:41:21 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service

Browse Source
This commit is contained in:
Translator
2025-01-09 08:33:32 +00:00
parent 910458b1bf
commit 28db18b344
2 changed files with 41 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

34
README.md Normal file
View File

@@ -0,0 +1,34 @@
# HackTricks Cloud
{{#include ./banners/hacktricks-training.md}}
<figure><img src="images/cloud.gif" alt=""><figcaption></figcaption></figure>
_Logos e animações do Hacktricks projetados por_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
> [!TIP]
> Bem-vindo à página onde você encontrará cada **truque/técnica de hacking/o que quer que seja relacionado a CI/CD & Cloud** que aprendi em **CTFs**, **ambientes** da **vida real**, **pesquisando** e **lendo** pesquisas e notícias.
### **Metodologia de Pentesting CI/CD**
**Na Metodologia de CI/CD do HackTricks você encontrará como pentestar a infraestrutura relacionada a atividades de CI/CD.** Leia a página a seguir para uma **introdução:**
[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md)
### Metodologia de Pentesting Cloud
**Na Metodologia Cloud do HackTricks você encontrará como pentestar ambientes de nuvem.** Leia a página a seguir para uma **introdução:**
[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md)
### Licença & Isenção de Responsabilidade
**Verifique-os em:**
[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq)
### Estatísticas do Github
![Estatísticas do Github HackTricks Cloud](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg)
{{#include ./banners/hacktricks-training.md}}

14
src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
View File

@@ -2,24 +2,24 @@
{{#include ../../../banners/hacktricks-training.md}}
## Informações Básicas sobre Static Web Apps
## Informações Básicas sobre Aplicativos Web Estáticos
Azure Static Web Apps é um serviço de nuvem para hospedagem de **aplicativos web estáticos com CI/CD automático de repositórios como GitHub**. Ele oferece entrega de conteúdo global, backends sem servidor e HTTPS integrado, tornando-o seguro e escalável. No entanto, mesmo que o serviço seja chamado de "estático", isso não significa que seja completamente seguro. Os riscos incluem CORS mal configurado, autenticação insuficiente e manipulação de conteúdo, que podem expor aplicativos a ataques como XSS e vazamento de dados se não forem gerenciados adequadamente.
Azure Static Web Apps é um serviço de nuvem para hospedar **aplicativos web estáticos com CI/CD automático de repositórios como GitHub**. Ele oferece entrega de conteúdo global, backends sem servidor e HTTPS integrado, tornando-o seguro e escalável. No entanto, mesmo que o serviço seja chamado de "estático", isso não significa que seja completamente seguro. Os riscos incluem CORS mal configurado, autenticação insuficiente e manipulação de conteúdo, que podem expor aplicativos a ataques como XSS e vazamento de dados se não forem gerenciados adequadamente.
### Autenticação de Implantação
> [!TIP]
> Quando um Static App é criado, você pode escolher a **política de autorização de implantação** entre **Token de implantação** e **fluxo de trabalho do GitHub Actions**.
> Quando um Aplicativo Estático é criado, você pode escolher a **política de autorização de implantação** entre **Token de implantação** e **fluxo de trabalho do GitHub Actions**.
- **Token de implantação**: Um token é gerado e usado para autenticar o processo de implantação. Qualquer pessoa com **este token é suficiente para implantar uma nova versão do aplicativo**. Uma **Ação do Github é implantada automaticamente** no repositório com o token em um segredo para implantar uma nova versão do aplicativo toda vez que o repositório é atualizado.
- **Fluxo de trabalho do GitHub Actions**: Neste caso, uma Ação do Github muito semelhante também é implantada no repositório e o **token também é armazenado em um segredo**. No entanto, esta Ação do Github tem uma diferença, ela usa a **`actions/github-script@v6`** para obter o IDToken do repositório e usá-lo para implantar o aplicativo.
- Mesmo que em ambos os casos a ação **`Azure/static-web-apps-deploy@v1`** seja usada com um token no parâmetro `azure_static_web_apps_api_token`, neste segundo caso, um token aleatório com um formato válido como `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` é suficiente para implantar o aplicativo, pois a autorização é feita com o IDToken no parâmetro `github_id_token`.
### Autenticação Básica de Web App
### Autenticação Básica de Aplicativos Web
É possível **configurar uma senha** para acessar o Web App. O console web permite configurá-la para proteger apenas ambientes de staging ou tanto o staging quanto o de produção.
É possível **configurar uma senha** para acessar o Aplicativo Web. O console web permite configurá-la para proteger apenas ambientes de staging ou tanto o staging quanto o de produção.
É assim que, no momento da escrita, um aplicativo web protegido por senha se parece:
É assim que, no momento da redação, um aplicativo web protegido por senha se parece:
<figure><img src="../../../images/azure_static_password.png" alt=""><figcaption></figcaption></figure>
@@ -62,7 +62,7 @@ Alguns exemplos:
}
}
```
Note como é possível **proteger um caminho com um papel**, então, os usuários precisarão se autenticar no aplicativo e receber esse papel para acessar o caminho. Também é possível **criar convites** concedendo papéis específicos a usuários específicos que fazem login via EntraID, Facebook, GitHub, Google, Twitter, o que pode ser útil para escalar privilégios dentro do aplicativo.
Note como é possível **proteger um caminho com um papel**, então, os usuários precisarão autenticar-se no aplicativo e receber esse papel para acessar o caminho. Também é possível **criar convites** concedendo papéis específicos a usuários específicos que fazem login via EntraID, Facebook, GitHub, Google, Twitter, o que pode ser útil para escalar privilégios dentro do aplicativo.
> [!TIP]
> Note que é possível configurar o App para que **alterações no arquivo `staticwebapp.config.json`** não sejam aceitas. Nesse caso, pode não ser suficiente apenas alterar o arquivo do Github, mas também **mudar a configuração no App**.