gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-14 05:46:25 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
463d86459947d5d3d417552aa671d1e70a172fc1
hacktricks-cloud/src/pentesting-cloud/azure-security/az-services/az-static-web-apps.md

10 KiB
Raw Blame History

Az - Static Web Apps

{{#include ../../../banners/hacktricks-training.md}}

Static Web Apps Basic Information

Azure Static Web Apps - це хмарний сервіс для хостингу статичних веб-додатків з автоматичним CI/CD з репозиторіїв, таких як GitHub. Він пропонує глобальну доставку контенту, безсерверні бекенди та вбудований HTTPS, що робить його безпечним і масштабованим. Однак, навіть якщо сервіс називається "статичним", це не означає, що він повністю безпечний. Ризики включають неправильно налаштований CORS, недостатню аутентифікацію та підробку контенту, що може піддати додатки атакам, таким як XSS та витік даних, якщо їх не належним чином управляти.

Deployment Authentication

Tip

Коли створюється статичний додаток, ви можете вибрати політику авторизації розгортання між токеном розгортання та робочим процесом GitHub Actions.

  • Токен розгортання: Токен генерується і використовується для аутентифікації процесу розгортання. Будь-хто з цим токеном достатньо, щоб розгорнути нову версію додатку. Github Action автоматично розгортається в репозиторії з токеном у секреті для розгортання нової версії додатку щоразу, коли репозиторій оновлюється.
  • Робочий процес GitHub Actions: У цьому випадку дуже схожий Github Action також розгортається в репозиторії, і токен також зберігається в секреті. Однак, цей Github Action має відмінність, він використовує actions/github-script@v6 для отримання IDToken репозиторію та використання його для розгортання додатку.
  • Навіть якщо в обох випадках використовується дія Azure/static-web-apps-deploy@v1 з токеном у параметрі azure_static_web_apps_api_token, у цьому другому випадку випадковий токен з форматом, що є дійсним, таким як 12345cbb198a77a092ff885781a62a15d51ef5e3654ca11234509ab54547270704-4140ccee-e04f-424f-b4ca-3d4dd123459c00f0702071d12345, є достатнім для розгортання додатку, оскільки авторизація здійснюється за допомогою IDToken у параметрі github_id_token.

Web App Basic Authentication

Можна налаштувати пароль для доступу до веб-додатку. Веб-консоль дозволяє налаштувати його для захисту лише середовищ стадії або обох - стадії та виробничого.

Ось як на момент написання виглядає веб-додаток з паролем:

Можна побачити чи використовується якийсь пароль і які середовища захищені за допомогою:

az rest --method GET \
--url "/subscriptions/<subscription-id>/resourceGroups/Resource_Group_1/providers/Microsoft.Web/staticSites/<app-name>/config/basicAuth?api-version=2024-04-01"

Однак це не покаже пароль у відкритому вигляді, лише щось на кшталт: "password": "**********************".

Маршрути та ролі

Маршрути визначають як обробляються вхідні HTTP запити в статичному веб-додатку. Налаштовані у файлі staticwebapp.config.json, вони контролюють переписування URL, перенаправлення, обмеження доступу та авторизацію на основі ролей, забезпечуючи належну обробку ресурсів та безпеку.

Декілька прикладів:

{
"routes": [
{
"route": "/",
"rewrite": "/index.html"
},
{
"route": "/about",
"rewrite": "/about.html"
},
{
"route": "/api/*",
"allowedRoles": ["authenticated"]
},
{
"route": "/admin",
"redirect": "/login",
"statusCode": 302
}
],
"navigationFallback": {
"rewrite": "/index.html",
"exclude": ["/api/*", "/assets/*"]
}
}

Зверніть увагу, як можна захистити шлях за допомогою ролі, тоді користувачам потрібно буде автентифікуватися в додатку та отримати цю роль для доступу до шляху. Також можливо створити запрошення, надаючи конкретні ролі конкретним користувачам, які входять через EntraID, Facebook, GitHub, Google, Twitter, що може бути корисним для ескалації привілеїв у додатку.

Tip

Зверніть увагу, що можливо налаштувати додаток так, щоб зміни у файлі staticwebapp.config.json не приймалися. У цьому випадку може бути недостатньо просто змінити файл з Github, але також потрібно змінити налаштування в додатку.

URL для стадії має цей формат: https://<app-subdomain>-<PR-num>.<region>.<res-of-app-domain>, наприклад: https://ambitious-plant-0f764e00f-2.eastus2.4.azurestaticapps.net

Керовані ідентичності

Azure Static Web Apps можна налаштувати для використання керованих ідентичностей, однак, як зазначено в цьому FAQ, вони підтримуються лише для витягування секретів з Azure Key Vault для цілей автентифікації, а не для доступу до інших ресурсів Azure.

Для отримання додаткової інформації ви можете знайти посібник Azure про використання секрету сховища в статичному додатку за адресою https://learn.microsoft.com/en-us/azure/static-web-apps/key-vault-secrets.

Перерахування

# List Static Webapps
az staticwebapp list --output table

# Get Static Webapp details
az staticwebapp show --name <name> --resource-group <res-group> --output table

# Get appsettings
az staticwebapp appsettings list --name <name>

# Get env information
az staticwebapp environment list --name <name>
az staticwebapp environment functions --name <name>

# Get API key
az staticwebapp secrets list --name <name>

# Get invited users
az staticwebapp users list --name <name>

# Get database connections
az rest --method GET \
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/staticSites/<app-name>/databaseConnections?api-version=2021-03-01"

## Once you have the database connection name ("default" by default) you can get the connection string with the credentials
az rest --method POST \
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/staticSites/<app-name>/databaseConnections/default/show?api-version=2021-03-01"

# Check connected backends
az staticwebapp backends show --name <name> --resource-group <res-group>

Приклади для створення веб-додатків

Ви можете знайти гарний приклад для створення веб-додатку за наступним посиланням: https://learn.microsoft.com/en-us/azure/static-web-apps/get-started-portal?tabs=react&pivots=github

  1. Зробіть форк репозиторію https://github.com/staticwebdev/react-basic/generate у вашому обліковому записі GitHub і назвіть його my-first-static-web-app
  2. У порталі Azure створіть Static Web App, налаштувавши доступ до Github і вибравши раніше форкнутий новий репозиторій
  3. Створіть його, почекайте кілька хвилин і перевірте вашу нову сторінку!

Підвищення привілеїв та постексплуатація

Вся інформація про підвищення привілеїв та постексплуатацію в Azure Static Web Apps може бути знайдена за наступним посиланням:

{{#ref}} ../az-privilege-escalation/az-static-web-apps-privesc.md {{#endref}}

Посилання

{{#include ../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink