diff --git a/README.md b/README.md new file mode 100644 index 000000000..27ee15ff6 --- /dev/null +++ b/README.md @@ -0,0 +1,34 @@ +# HackTricks Cloud + +{{#include ./banners/hacktricks-training.md}} + +
+ +_Hacktricks logoları ve hareket tasarımı_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_ tarafından yapılmıştır._ + +> [!TIP] +> **CTF'lerde**, **gerçek** yaşam **ortamlarında**, **araştırma** yaparak ve **araştırmaları** ve haberleri okuyarak öğrendiğim her **hacking hilesi/teknik/CI/CD & Cloud ile ilgili her şey** için bu sayfaya hoş geldiniz. + +### **Pentesting CI/CD Methodology** + +**HackTricks CI/CD Methodology'de CI/CD faaliyetleri ile ilgili altyapıyı nasıl pentest edeceğinizi bulacaksınız.** Bir **giriş** için aşağıdaki sayfayı okuyun: + +[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md) + +### Pentesting Cloud Methodology + +**HackTricks Cloud Methodology'de bulut ortamlarını nasıl pentest edeceğinizi bulacaksınız.** Bir **giriş** için aşağıdaki sayfayı okuyun: + +[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md) + +### License & Disclaimer + +**Onları kontrol edin:** + +[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) + +### Github Stats + +![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) + +{{#include ./banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md index adc76dbfb..d956da16f 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md +++ b/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md @@ -12,12 +12,12 @@ Azure Statik Web Uygulamaları, **GitHub gibi depolardan otomatik CI/CD ile stat > Statik Uygulama oluşturulduğunda, **Dağıtım yetkilendirme politikası** olarak **Dağıtım token'ı** ve **GitHub Actions iş akışı** arasında seçim yapabilirsiniz. - **Dağıtım token'ı**: Bir token oluşturulur ve dağıtım sürecini kimlik doğrulamak için kullanılır. **Bu token'a sahip olan herkes yeni bir uygulama sürümünü dağıtmak için yeterlidir**. Her seferinde depo güncellendiğinde uygulamanın yeni bir sürümünü dağıtmak için token'ın gizli olduğu bir **Github Action otomatik olarak depoya dağıtılır**. -- **GitHub Actions iş akışı**: Bu durumda, depoda çok benzer bir Github Action da dağıtılır ve **token da bir gizli olarak saklanır**. Ancak, bu Github Action'ın bir farkı vardır; **`actions/github-script@v6`** eylemini kullanarak depo IDToken'ını alır ve uygulamayı dağıtmak için kullanır. +- **GitHub Actions iş akışı**: Bu durumda, depoda çok benzer bir Github Action da dağıtılır ve **token da gizli bir şekilde saklanır**. Ancak, bu Github Action'ın bir farkı vardır; **`actions/github-script@v6`** eylemini kullanarak depo IDToken'ını alır ve uygulamayı dağıtmak için kullanır. - Her iki durumda da **`Azure/static-web-apps-deploy@v1`** eylemi `azure_static_web_apps_api_token` parametresinde bir token ile kullanılsa da, bu ikinci durumda `github_id_token` parametresinde IDToken ile yetkilendirme yapıldığı için `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` gibi geçerli bir formatta rastgele bir token uygulamayı dağıtmak için yeterlidir. ### Web Uygulaması Temel Kimlik Doğrulaması -Web Uygulamasına erişmek için **bir şifre yapılandırmak** mümkündür. Web konsolu, yalnızca sahneleme ortamlarını veya hem sahneleme hem de üretim ortamını korumak için yapılandırılmasına izin verir. +Web Uygulamasına erişmek için **bir şifre yapılandırmak** mümkündür. Web konsolu, yalnızca test ortamlarını veya hem test hem de üretim ortamını korumak için yapılandırılmasına izin verir. Yazma anında şifre korumalı bir web uygulamasının görünümü şöyle: @@ -30,11 +30,11 @@ az rest --method GET \ ``` Ancak, bu **şifreyi düz metin olarak göstermez**, sadece şöyle bir şey gösterir: `"password": "**********************"`. -### Rotalar ve Roller +### Rotalar & Roller -Rotalar, bir statik web uygulaması içinde **gelen HTTP isteklerinin nasıl işleneceğini** tanımlar. **`staticwebapp.config.json`** dosyasında yapılandırılan bu rotalar, URL yeniden yazma, yönlendirmeler, erişim kısıtlamaları ve rol tabanlı yetkilendirme gibi işlemleri kontrol ederek, kaynakların doğru bir şekilde işlenmesini ve güvenliğini sağlar. +Rotalar, bir statik web uygulaması içinde **gelen HTTP isteklerinin nasıl işlendiğini tanımlar**. **`staticwebapp.config.json`** dosyasında yapılandırılan bu rotalar, URL yeniden yazma, yönlendirmeler, erişim kısıtlamaları ve rol tabanlı yetkilendirme gibi işlemleri kontrol ederek, kaynakların doğru bir şekilde işlenmesini ve güvenliğini sağlar. -Bazı örnekler: +Bazı örnek: ```json { "routes": [ @@ -62,7 +62,7 @@ Bazı örnekler: } } ``` -Not edin ki bir **rol ile bir yolu korumak** mümkündür, bu durumda kullanıcıların uygulamaya kimlik doğrulaması yapması ve bu role erişim için yetkilendirilmesi gerekecektir. Ayrıca, belirli kullanıcılara belirli roller vermek için **davetiye oluşturmak** da mümkündür; bu, uygulama içinde ayrıcalıkları artırmak için yararlı olabilir. +Not edin ki bir **rol ile bir yolu korumak** mümkündür, bu durumda kullanıcıların uygulamaya kimlik doğrulaması yapması ve bu role erişim için yetkilendirilmesi gerekecektir. Ayrıca, belirli kullanıcılara EntraID, Facebook, GitHub, Google, Twitter üzerinden giriş yaparak belirli roller veren **davetiye oluşturmak** da mümkündür; bu, uygulama içinde ayrıcalıkları artırmak için faydalı olabilir. > [!TIP] > Uygulamayı, **`staticwebapp.config.json`** dosyasındaki değişikliklerin kabul edilmediği şekilde yapılandırmanın mümkün olduğunu unutmayın. Bu durumda, sadece dosyayı Github'dan değiştirmek yeterli olmayabilir, ayrıca **Uygulamadaki ayarı değiştirmek** de gereklidir. @@ -115,9 +115,9 @@ Aşağıdaki bağlantıda bir web uygulaması oluşturmak için güzel bir örne 2. Azure portalında, Github erişimini yapılandırarak ve daha önce fork edilen yeni depoyu seçerek bir Static Web App oluşturun. 3. Oluşturun, birkaç dakika bekleyin ve yeni sayfanızı kontrol edin! -## Yetki Yükseltme ve Sonrası İstismar +## Yetki Yükseltme ve Sonrası Sömürü -Azure Static Web Apps'ta yetki yükseltme ve sonrası istismar hakkında tüm bilgilere aşağıdaki bağlantıdan ulaşabilirsiniz: +Azure Static Web Apps'te yetki yükseltme ve sonrası sömürü ile ilgili tüm bilgilere aşağıdaki bağlantıdan ulaşabilirsiniz: {{#ref}} ../az-privilege-escalation/az-static-web-apps-privesc.md