From 6725f22a7feeb621f875938129b0608727aa3fd7 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 9 Jan 2025 08:33:29 +0000 Subject: [PATCH] Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service --- README.md | 34 +++++++++++++++++++ .../az-services/az-static-web-apps.md | 8 ++--- 2 files changed, 38 insertions(+), 4 deletions(-) create mode 100644 README.md diff --git a/README.md b/README.md new file mode 100644 index 000000000..9a748cb54 --- /dev/null +++ b/README.md @@ -0,0 +1,34 @@ +# HackTricks Cloud + +{{#include ./banners/hacktricks-training.md}} + +
+ +_Loga Hacktricks & animacje zaprojektowane przez_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._ + +> [!TIP] +> Witaj na stronie, na której znajdziesz każdy **trik/technikę/hack związany z CI/CD i Chmurą**, którego nauczyłem się w **CTF-ach**, **prawdziwych** środowiskach **życiowych**, **badaniach** oraz **czytając** badania i wiadomości. + +### **Metodologia Pentestingu CI/CD** + +**W Metodologii CI/CD HackTricks znajdziesz, jak przeprowadzać pentesting infrastruktury związanej z działalnością CI/CD.** Przeczytaj następującą stronę, aby uzyskać **wprowadzenie:** + +[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md) + +### Metodologia Pentestingu Chmury + +**W Metodologii Chmury HackTricks znajdziesz, jak przeprowadzać pentesting środowisk chmurowych.** Przeczytaj następującą stronę, aby uzyskać **wprowadzenie:** + +[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md) + +### Licencja i Zastrzeżenie + +**Sprawdź je w:** + +[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) + +### Statystyki Github + +![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) + +{{#include ./banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md index c97ffc104..0e2092ca5 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md +++ b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md @@ -11,19 +11,19 @@ Azure Static Web Apps to usługa chmurowa do hostowania **statycznych aplikacji > [!TIP] > Gdy tworzona jest aplikacja statyczna, możesz wybrać **politykę autoryzacji wdrożenia** pomiędzy **tokenem wdrożenia** a **workflow GitHub Actions**. -- **Token wdrożenia**: Generowany jest token, który służy do autoryzacji procesu wdrożenia. Każdy, kto ma **ten token, wystarczy, aby wdrożyć nową wersję aplikacji**. **Github Action jest automatycznie wdrażany** w repozytorium z tokenem w sekrecie, aby wdrożyć nową wersję aplikacji za każdym razem, gdy repozytorium jest aktualizowane. +- **Token wdrożenia**: Generowany jest token, który służy do uwierzytelnienia procesu wdrożenia. Każdy, kto ma **ten token, wystarczy, aby wdrożyć nową wersję aplikacji**. **Github Action jest automatycznie wdrażany** w repozytorium z tokenem w sekrecie, aby wdrożyć nową wersję aplikacji za każdym razem, gdy repozytorium jest aktualizowane. - **Workflow GitHub Actions**: W tym przypadku bardzo podobna akcja GitHub jest również wdrażana w repozytorium, a **token jest również przechowywany w sekrecie**. Jednak ta akcja GitHub ma różnicę, używa **`actions/github-script@v6`** do uzyskania IDToken repozytorium i używa go do wdrożenia aplikacji. - Nawet jeśli w obu przypadkach używana jest akcja **`Azure/static-web-apps-deploy@v1`** z tokenem w parametrze `azure_static_web_apps_api_token`, w tym drugim przypadku losowy token o formacie ważnym jak `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` jest wystarczający do wdrożenia aplikacji, ponieważ autoryzacja odbywa się za pomocą IDToken w parametrze `github_id_token`. ### Podstawowa autoryzacja aplikacji internetowej -Możliwe jest **skonfigurowanie hasła** do uzyskania dostępu do aplikacji internetowej. Konsola internetowa pozwala na skonfigurowanie jej w celu ochrony tylko środowisk stagingowych lub zarówno stagingowych, jak i produkcyjnych. +Możliwe jest **skonfigurowanie hasła** do uzyskania dostępu do aplikacji internetowej. Konsola internetowa pozwala na skonfigurowanie go w celu ochrony tylko środowisk stagingowych lub zarówno stagingowych, jak i produkcyjnych. Tak wygląda aplikacja internetowa chroniona hasłem w momencie pisania:
-Możliwe jest zobaczenie **czy jakiekolwiek hasło jest używane** i które środowiska są chronione za pomocą: +Możliwe jest sprawdzenie **czy jakiekolwiek hasło jest używane** i które środowiska są chronione za pomocą: ```bash az rest --method GET \ --url "/subscriptions//resourceGroups/Resource_Group_1/providers/Microsoft.Web/staticSites//config/basicAuth?api-version=2024-04-01" @@ -62,7 +62,7 @@ Kilka przykładów: } } ``` -Zauważ, że możliwe jest **ochronienie ścieżki za pomocą roli**, wtedy użytkownicy będą musieli uwierzytelnić się w aplikacji i otrzymać tę rolę, aby uzyskać dostęp do ścieżki. Możliwe jest również **tworzenie zaproszeń**, przyznających określone role konkretnym użytkownikom logującym się przez EntraID, Facebook, GitHub, Google, Twitter, co może być przydatne do eskalacji uprawnień w aplikacji. +Zauważ, że możliwe jest **ochronienie ścieżki za pomocą roli**, wtedy użytkownicy będą musieli uwierzytelnić się w aplikacji i otrzymać tę rolę, aby uzyskać dostęp do ścieżki. Możliwe jest również **tworzenie zaproszeń**, przyznających konkretne role konkretnym użytkownikom logującym się przez EntraID, Facebook, GitHub, Google, Twitter, co może być przydatne do eskalacji uprawnień w aplikacji. > [!TIP] > Zauważ, że możliwe jest skonfigurowanie aplikacji tak, aby **zmiany w pliku `staticwebapp.config.json`** nie były akceptowane. W takim przypadku może nie wystarczyć tylko zmiana pliku z Githuba, ale także **zmiana ustawienia w aplikacji**.