GCP - Zrozumienie delegacji w skali domeny

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Ten post jest wprowadzeniem do https://www.hunters.security/en/blog/delefriend-a-newly-discovered-design-flaw-in-domain-wide-delegation-could-leave-google-workspace-vulnerable-for-takeover, do którego można uzyskać dostęp w celu uzyskania dalszych szczegółów.

Zrozumienie delegacji w skali domeny

Delegacja w skali domeny Google Workspace pozwala obiektowi tożsamości, czy to zewnętrznej aplikacji z Google Workspace Marketplace, czy wewnętrznemu Konto usługi GCP, na uzyskiwanie dostępu do danych w Workspace w imieniu użytkowników. Ta funkcja, która jest kluczowa dla aplikacji współdziałających z interfejsami API Google lub usługami wymagającymi podszywania się pod użytkownika, zwiększa efektywność i minimalizuje błędy ludzkie poprzez automatyzację zadań. Używając OAuth 2.0, deweloperzy aplikacji i administratorzy mogą dać tym kontom usługowym dostęp do danych użytkowników bez zgody poszczególnych użytkowników.

Google Workspace pozwala na tworzenie dwóch głównych typów globalnych delegowanych tożsamości obiektów:

  • Aplikacje GWS: Aplikacje z Marketplace Workspace mogą być skonfigurowane jako delegowana tożsamość. Zanim zostaną udostępnione w marketplace, każda aplikacja Workspace przechodzi przegląd przez Google, aby zminimalizować potencjalne nadużycia. Chociaż nie eliminuje to całkowicie ryzyka nadużyć, znacznie zwiększa trudność wystąpienia takich incydentów.
  • Konto usługi GCP: Dowiedz się więcej o Konta usług GCP tutaj.

Delegacja w skali domeny: Jak to działa

Oto jak Konto usługi GCP może uzyskać dostęp do interfejsów API Google w imieniu innych tożsamości w Google Workspace: