diff --git a/README.md b/README.md new file mode 100644 index 000000000..edacf3117 --- /dev/null +++ b/README.md @@ -0,0 +1,34 @@ +# HackTricks Cloud + +{{#include ./banners/hacktricks-training.md}} + +
+ +_Hacktricks логотипи та анімація розроблені_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._ + +> [!TIP] +> Ласкаво просимо на сторінку, де ви знайдете кожен **хакерський трюк/техніку/що завгодно, пов'язане з CI/CD та Cloud**, який я навчився в **CTF**, **реальних** життєвих **середовищах**, **досліджуючи** та **читаючи** дослідження і новини. + +### **Pentesting CI/CD Methodology** + +**У методології HackTricks CI/CD ви знайдете, як проводити пентест інфраструктури, пов'язаної з CI/CD активностями.** Прочитайте наступну сторінку для **вступу:** + +[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md) + +### Pentesting Cloud Methodology + +**У методології HackTricks Cloud ви знайдете, як проводити пентест хмарних середовищ.** Прочитайте наступну сторінку для **вступу:** + +[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md) + +### License & Disclaimer + +**Перевірте їх у:** + +[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) + +### Github Stats + +![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) + +{{#include ./banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md index f2f9c38ff..1e84a702f 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md +++ b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md @@ -13,7 +13,7 @@ Azure Static Web Apps - це хмарний сервіс для хостингу - **Токен розгортання**: Токен генерується і використовується для аутентифікації процесу розгортання. Будь-хто з **цим токеном достатньо, щоб розгорнути нову версію додатку**. **Github Action автоматично розгортається** в репозиторії з токеном у секреті для розгортання нової версії додатку щоразу, коли репозиторій оновлюється. - **Робочий процес GitHub Actions**: У цьому випадку дуже схожий Github Action також розгортається в репозиторії, і **токен також зберігається в секреті**. Однак, цей Github Action має відмінність, він використовує **`actions/github-script@v6`** для отримання IDToken репозиторію та використання його для розгортання додатку. -- Навіть якщо в обох випадках використовується дія **`Azure/static-web-apps-deploy@v1`** з токеном у параметрі `azure_static_web_apps_api_token`, у цьому другому випадку випадковий токен з форматом, що підходить, як `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345`, є достатнім для розгортання додатку, оскільки авторизація здійснюється за допомогою IDToken у параметрі `github_id_token`. +- Навіть якщо в обох випадках використовується дія **`Azure/static-web-apps-deploy@v1`** з токеном у параметрі `azure_static_web_apps_api_token`, у цьому другому випадку випадковий токен з форматом, що є дійсним, таким як `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345`, є достатнім для розгортання додатку, оскільки авторизація здійснюється за допомогою IDToken у параметрі `github_id_token`. ### Web App Basic Authentication @@ -62,7 +62,7 @@ az rest --method GET \ } } ``` -Зверніть увагу, як можна **захистити шлях за допомогою ролі**, тоді користувачам потрібно буде автентифікуватися в додатку та отримати цю роль для доступу до шляху. Також можливо **створити запрошення**, надаючи конкретні ролі конкретним користувачам, які входять через EntraID, Facebook, GitHub, Google, Twitter, що може бути корисно для ескалації привілеїв у додатку. +Зверніть увагу, як можна **захистити шлях за допомогою ролі**, тоді користувачам потрібно буде автентифікуватися в додатку та отримати цю роль для доступу до шляху. Також можливо **створити запрошення**, надаючи конкретні ролі конкретним користувачам, які входять через EntraID, Facebook, GitHub, Google, Twitter, що може бути корисним для ескалації привілеїв у додатку. > [!TIP] > Зверніть увагу, що можливо налаштувати додаток так, щоб **зміни у файлі `staticwebapp.config.json`** не приймалися. У цьому випадку може бути недостатньо просто змінити файл з Github, але також потрібно **змінити налаштування в додатку**.