gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-05 20:40:18 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['README.md', 'src/pentesting-cloud/azure-security/az-service

Browse Source
This commit is contained in:
Translator
2025-01-09 08:33:25 +00:00
parent bca747e0ab
commit d7dfa59a37
2 changed files with 38 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

34
README.md Normal file
View File

@@ -0,0 +1,34 @@
# HackTricks Cloud
{{#include ./banners/hacktricks-training.md}}
<figure><img src="images/cloud.gif" alt=""><figcaption></figcaption></figure>
_Hacktricks logotipi i animacije dizajnirao_ [_@ppiernacho_](https://www.instagram.com/ppieranacho/)_._
> [!TIP]
> Dobrodošli na stranicu gde ćete pronaći svaki **hacking trik/tehniku/šta god vezano za CI/CD & Cloud** koju sam naučio u **CTF-ima**, **pravim** životnim **okruženjima**, **istražujući** i **čitajuci** istraživanja i vesti.
### **Pentesting CI/CD Metodologija**
**U HackTricks CI/CD Metodologiji ćete pronaći kako da pentestujete infrastrukturu vezanu za CI/CD aktivnosti.** Pročitajte sledeću stranicu za **uvod:**
[pentesting-ci-cd-methodology.md](pentesting-ci-cd/pentesting-ci-cd-methodology.md)
### Pentesting Cloud Metodologija
**U HackTricks Cloud Metodologiji ćete pronaći kako da pentestujete cloud okruženja.** Pročitajte sledeću stranicu za **uvod:**
[pentesting-cloud-methodology.md](pentesting-cloud/pentesting-cloud-methodology.md)
### Licenca & Odricanje
**Proverite ih u:**
[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq)
### Github Statistika
![HackTricks Cloud Github Statistika](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg)
{{#include ./banners/hacktricks-training.md}}

8
src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md
View File

@@ -4,26 +4,26 @@
## Osnovne informacije o statičkim web aplikacijama
Azure Static Web Apps je cloud usluga za hostovanje **statičkih web aplikacija sa automatskim CI/CD iz repozitorijuma kao što je GitHub**. Pruža globalnu isporuku sadržaja, serverless backend i ugrađeni HTTPS, čineći ga sigurnim i skalabilnim. Međutim, čak i ako se usluga naziva "statičkom", to ne znači da je potpuno sigurna. Rizici uključuju pogrešno konfigurisane CORS, nedovoljnu autentifikaciju i manipulaciju sadržajem, što može izložiti aplikacije napadima poput XSS i curenja podataka ako se ne upravlja pravilno.
Azure Static Web Apps je cloud usluga za hostovanje **statičkih web aplikacija sa automatskim CI/CD iz repozitorijuma kao što je GitHub**. Pruža globalnu isporuku sadržaja, serverless backend, i ugrađeni HTTPS, čineći je sigurnom i skalabilnom. Međutim, čak i ako se usluga naziva "statičkom", to ne znači da je potpuno sigurna. Rizici uključuju pogrešno konfigurisane CORS, nedovoljnu autentifikaciju i manipulaciju sadržajem, što može izložiti aplikacije napadima poput XSS i curenja podataka ako se ne upravlja pravilno.
### Autentifikacija prilikom implementacije
> [!TIP]
> Kada se kreira statička aplikacija, možete odabrati **politiku autorizacije implementacije** između **tokena za implementaciju** i **GitHub Actions radnog toka**.
- **Token za implementaciju**: Token se generiše i koristi za autentifikaciju procesa implementacije. Svako ko ima **ovaj token je dovoljno da implementira novu verziju aplikacije**. **Github Action se automatski implementira** u repozitorijumu sa tokenom u tajni kako bi se implementirala nova verzija aplikacije svaki put kada se repozitorijum ažurira.
- **Token za implementaciju**: Token se generiše i koristi za autentifikaciju procesa implementacije. Svako ko ima **ovaj token je dovoljno da implementira novu verziju aplikacije**. **Github Action se automatski implementira** u repozitorijumu sa tokenom u tajni da bi se implementirala nova verzija aplikacije svaki put kada se repozitorijum ažurira.
- **GitHub Actions radni tok**: U ovom slučaju, vrlo sličan Github Action se takođe implementira u repozitorijumu i **token se takođe čuva u tajni**. Međutim, ovaj Github Action ima razliku, koristi **`actions/github-script@v6`** akciju da dobije IDToken repozitorijuma i koristi ga za implementaciju aplikacije.
- Čak i ako se u oba slučaja koristi akcija **`Azure/static-web-apps-deploy@v1`** sa tokenom u `azure_static_web_apps_api_token` parametru, u ovom drugom slučaju, nasumični token sa validnim formatom kao što je `12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345` je samo dovoljno da se implementira aplikacija jer se autorizacija vrši sa IDToken-om u `github_id_token` parametru.
### Osnovna autentifikacija web aplikacije
Moguće je **konfigurisati lozinku** za pristup web aplikaciji. Web konzola omogućava da se konfiguriše tako da štiti samo staging okruženja ili i staging i produkcijsko.
Moguće je **konfigurisati lozinku** za pristup web aplikaciji. Web konzola omogućava da se konfiguriše da štiti samo staging okruženja ili i staging i produkcijsko.
Ovako izgleda web aplikacija zaštićena lozinkom u trenutku pisanja:
<figure><img src="../../../images/azure_static_password.png" alt=""><figcaption></figcaption></figure>
Moguće je videti **da li se koristi neka lozinka** i koja su okruženja zaštićena sa:
Moguće je videti **da li se koristi neka lozinka** i koja okruženja su zaštićena sa:
```bash
az rest --method GET \
--url "/subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.Web/staticSites/<app-name>/config/basicAuth?api-version=2024-04-01"