प्रौद्योगिकी साझेदारी

[जालसुरक्षा] SSRF इत्यस्य Microsoft Azure कार्याणि

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

सहमतिम् विना पुनः पोस्ट् कर्तुं अनुमतिः नास्ति।

लेख निर्देशिका

पाठ

Azure Functions इति सर्वररहितगणनासेवा अस्ति या अनुप्रयोगानाम् चालनार्थं माङ्गल्यानुसारं सर्वाणि आवश्यकानि आधारभूतसंरचनानि संसाधनानि च प्रदाति । अस्य उपयोगः जाल-एपिआइ-निर्माणार्थं, दत्तांशकोशपरिवर्तनस्य प्रतिक्रियायै, IoT-दत्तांशप्रवाहस्य संसाधनाय, सन्देशपङ्क्तिप्रबन्धनाय, अन्यप्रयोजनार्थं च कर्तुं शक्यते ।

प्रथमं फंक्शन् एप्लिकेशनं रचयन्तु : १.

img

फंक्शन् कोड रचयन्तु : १.

img

Functions इत्यत्र क्लिक् कृत्वा विन्यासार्थं निम्नलिखितपृष्ठं प्रविशन्तु ।

img

नमूनानाम प्रविष्ट्वा टेम्पलेट् चिनोतु:

img

फंक्शन् एप् निर्मितस्य अनन्तरं Code + Test इति चिनोतु । ग्राहकेन प्रेषिताः विविधाः अनुरोधाः सन्ति, यत्र विशेषानुरोधद्वयं भवति-

1、https://functions.azure.com/api/passthrough 
2、https://functions.azure.com/api/debug

  • 1
  • 2

img

GitHub पुस्तकालयं अन्वेष्य, कीलसङ्केतः निम्नलिखितरूपेण भवति ।

img

यथा भवान् अस्य कोडस्य अनुरूपं अनुरोधसङ्कुलात् द्रष्टुं शक्नोति, ब्राउजर् अस्माकं अनुकूलितं कार्यं प्रेषयति (BlobTrigger1.dat) इत्यनेन GET अनुरोधः प्रेषितः:

img

दस्तावेजीकरणं पठित्वा functions.azure.com प्रति प्रमाणीकरणार्थं निम्नलिखितद्वयं पैरामीटर् उपयुज्यते तथा च अनुरोधं कर्तुं आवश्यकौ स्तः:

img

एतयोः शीर्षकद्वयं निष्कास्य वयं यत्किमपि अनुरोधं प्रेषयितुं शक्नुमः इति तात्पर्यम् ।

ततः वयं url परिवर्त्य Azure Functions सर्वरस्य पतां प्राप्तवन्तः:

img

https://www.nba.com इत्यत्र अनुरोधं प्रेषयित्वा प्रतिक्रिया निम्नलिखितरूपेण भवति ।

img

अस्माकं अनुरोधं निष्पादयितुं function application इत्यस्य उपयोगः भवति इति निष्पद्यते ।

तस्मिन् एव काले https://www.infobyip.com/ इत्यत्र अनुरोधं प्रेषयित्वा IP-सङ्केतस्य विषये सूचना प्राप्यते, तथा च प्रतिध्वनितः User-Agent axios/0.21.4 अस्ति, अतः कार्यं Node JS मॉड्यूल् अस्ति:

img

फंक्शन् प्रोग्राम् इत्यस्य फंक्शन्स्, लक्षणं च स्पष्टीकृत्य भवन्तः तस्य अधिकं उपयोगं कर्तुं शक्नुवन्ति ।

शोषण

IMDS सेवां प्राप्तुं प्रयतितवान् परन्तु प्रवेशं कर्तुं असमर्थः।परन्तु सम्भाव्यं मुक्तं आन्तरिकं पोर्ट् गणयितुं शक्नोति41692

img

अग्रे गणनाद्वारा आन्तरिकः अन्त्यबिन्दुः प्राप्तुं शक्यते इति पुष्टिः अभवत्, यथा अधः दर्शितम् अस्ति ।

img
]

अग्रे गणनाद्वारा आन्तरिकः अन्त्यबिन्दुः प्राप्तुं शक्यते इति पुष्टिः अभवत्, यथा अधः दर्शितम् अस्ति ।

img

मूलस्रोतः: https://orca.security/resources/blog/ssrf-vulnerabilities-azure-functions-app/

व्यक्तिगत प्रोफाइल

सः ३० वर्षाणाम् अनुसरणं प्रौयोगिक कौलिका समुह, सलग, जावा, जावास्च, php, css समुच्चय भाषा सुनाधारी, ph, css समुच्चय संस्कृत भाषा सुनावं, सरोकार विद्वान विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग विनियोग

मम सम्पर्कसूचना

मेल