gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 19:32:24 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service

Browse Source
This commit is contained in:
Translator
2025-01-09 08:34:09 +00:00
parent 2b8af4f873
commit 6d80aee160
2 changed files with 42 additions and 8 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
View File

@@ -12,12 +12,12 @@ Azure Statik Web Uygulamaları, **GitHub gibi depolardan otomatik CI/CD ile stat
> Statik Uygulama oluşturulduğunda, **Dağıtım yetkilendirme politikası** olarak **Dağıtım token'ı** ve **GitHub Actions iş akışı** arasında seçim yapabilirsiniz.
- **Dağıtım token'ı**: Bir token oluşturulur ve dağıtım sürecini kimlik doğrulamak için kullanılır. **Bu token'a sahip olan herkes yeni bir uygulama sürümünü dağıtmak için yeterlidir**. Her seferinde depo güncellendiğinde uygulamanın yeni bir sürümünü dağıtmak için token'ın gizli olduğu bir **Github Action otomatik olarak depoya dağıtılır**.
- **GitHub Actions iş akışı**: Bu durumda, depoda çok benzer bir Github Action da dağıtılır ve **token da bir gizli olarak saklanır**. Ancak, bu Github Action'ın bir farkı vardır; **`actions/github-script@v6`** eylemini kullanarak depo IDToken'ını alır ve uygulamayı dağıtmak için kullanır.
- **GitHub Actions iş akışı**: Bu durumda, depoda çok benzer bir Github Action da dağıtılır ve **token da gizli bir şekilde saklanır**. Ancak, bu Github Action'ın bir farkı vardır; **`actions/github-script@v6`** eylemini kullanarak depo IDToken'ını alır ve uygulamayı dağıtmak için kullanır.
- Her iki durumda da **`Azure/static-web-apps-deploy@v1`** eylemi `azure_static_web_apps_api_token` parametresinde bir token ile kullanılsa da, bu ikinci durumda `github_id_token` parametresinde IDToken ile yetkilendirme yapıldığı için `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` gibi geçerli bir formatta rastgele bir token uygulamayı dağıtmak için yeterlidir.
### Web Uygulaması Temel Kimlik Doğrulaması
Web Uygulamasına erişmek için **bir şifre yapılandırmak** mümkündür. Web konsolu, yalnızca sahneleme ortamlarını veya hem sahneleme hem de üretim ortamını korumak için yapılandırılmasına izin verir.
Web Uygulamasına erişmek için **bir şifre yapılandırmak** mümkündür. Web konsolu, yalnızca test ortamlarını veya hem test hem de üretim ortamını korumak için yapılandırılmasına izin verir.
Yazma anında şifre korumalı bir web uygulamasının görünümü şöyle:
@@ -30,11 +30,11 @@ az rest --method GET \
```
Ancak, bu **şifreyi düz metin olarak göstermez**, sadece şöyle bir şey gösterir: `"password": "**********************"`.
### Rotalar ve Roller
### Rotalar & Roller
Rotalar, bir statik web uygulaması içinde **gelen HTTP isteklerinin nasıl işleneceğini** tanımlar. **`staticwebapp.config.json`** dosyasında yapılandırılan bu rotalar, URL yeniden yazma, yönlendirmeler, erişim kısıtlamaları ve rol tabanlı yetkilendirme gibi işlemleri kontrol ederek, kaynakların doğru bir şekilde işlenmesini ve güvenliğini sağlar.
Rotalar, bir statik web uygulaması içinde **gelen HTTP isteklerinin nasıl işlendiğini tanımlar**. **`staticwebapp.config.json`** dosyasında yapılandırılan bu rotalar, URL yeniden yazma, yönlendirmeler, erişim kısıtlamaları ve rol tabanlı yetkilendirme gibi işlemleri kontrol ederek, kaynakların doğru bir şekilde işlenmesini ve güvenliğini sağlar.
Bazı örnekler:
Bazı örnek:
```json
{
"routes": [
@@ -62,7 +62,7 @@ Bazı örnekler:
}
}
```
Not edin ki bir **rol ile bir yolu korumak** mümkündür, bu durumda kullanıcıların uygulamaya kimlik doğrulaması yapması ve bu role erişim için yetkilendirilmesi gerekecektir. Ayrıca, belirli kullanıcılara belirli roller vermek için **davetiye oluşturmak** da mümkündür; bu, uygulama içinde ayrıcalıkları artırmak için yararlı olabilir.
Not edin ki bir **rol ile bir yolu korumak** mümkündür, bu durumda kullanıcıların uygulamaya kimlik doğrulaması yapması ve bu role erişim için yetkilendirilmesi gerekecektir. Ayrıca, belirli kullanıcılara EntraID, Facebook, GitHub, Google, Twitter üzerinden giriş yaparak belirli roller veren **davetiye oluşturmak** da mümkündür; bu, uygulama içinde ayrıcalıkları artırmak için faydalı olabilir.
> [!TIP]
> Uygulamayı, **`staticwebapp.config.json`** dosyasındaki değişikliklerin kabul edilmediği şekilde yapılandırmanın mümkün olduğunu unutmayın. Bu durumda, sadece dosyayı Github'dan değiştirmek yeterli olmayabilir, ayrıca **Uygulamadaki ayarı değiştirmek** de gereklidir.
@@ -115,9 +115,9 @@ Aşağıdaki bağlantıda bir web uygulaması oluşturmak için güzel bir örne
2. Azure portalında, Github erişimini yapılandırarak ve daha önce fork edilen yeni depoyu seçerek bir Static Web App oluşturun.
3. Oluşturun, birkaç dakika bekleyin ve yeni sayfanızı kontrol edin!
## Yetki Yükseltme ve Sonrası İstismar
## Yetki Yükseltme ve Sonrası Sömürü
Azure Static Web Apps'ta yetki yükseltme ve sonrası istismar hakkında tüm bilgilere aşağıdaki bağlantıdan ulaşabilirsiniz:
Azure Static Web Apps'te yetki yükseltme ve sonrası sömürü ile ilgili tüm bilgilere aşağıdaki bağlantıdan ulaşabilirsiniz:
{{#ref}}
../az-privilege-escalation/az-static-web-apps-privesc.md