Vercel

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

Vercel’de bir Ekip, bir müşteriye ait olan tam ortam ve bir proje, bir uygulamadır.

Vercel için bir güvenlik incelemesi yapmak istiyorsanız, kontrol etmek için Görüntüleyici rol izni olan bir kullanıcı veya en azından Projeye görüntüleyici izni istemeniz gerekir (eğer sadece projeleri kontrol etmeniz gerekiyorsa ve Ekip yapılandırmasını kontrol etmenize gerek yoksa).

Proje Ayarları

Genel

Amaç: Proje adı, çerçeve ve derleme yapılandırmaları gibi temel proje ayarlarını yönetmek.

Güvenlik Yapılandırmaları:

  • Transfer
  • Yanlış Yapılandırma: Projeyi başka bir ekibe aktarmaya izin verir.
  • Risk: Bir saldırgan projeyi çalabilir.
  • Proje Sil
  • Yanlış Yapılandırma: Projeyi silmeye izin verir.
  • Risk: Projeyi silmek.

Alan Adları

Amaç: Özel alan adlarını, DNS ayarlarını ve SSL yapılandırmalarını yönetmek.

Güvenlik Yapılandırmaları:

  • DNS Yapılandırma Hataları
  • Yanlış Yapılandırma: Kötü niyetli sunuculara işaret eden yanlış DNS kayıtları (A, CNAME).
  • Risk: Alan adı kaçırma, trafik kesintisi ve kimlik avı saldırıları.
  • SSL/TLS Sertifika Yönetimi
  • Yanlış Yapılandırma: Zayıf veya süresi dolmuş SSL/TLS sertifikalarının kullanılması.
  • Risk: Adam ortada (MITM) saldırılarına karşı savunmasızlık, veri bütünlüğü ve gizliliğin tehlikeye girmesi.
  • DNSSEC Uygulaması
  • Yanlış Yapılandırma: DNSSEC’i etkinleştirmemek veya yanlış DNSSEC ayarları.
  • Risk: DNS sahtekarlığı ve önbellek zehirlenmesi saldırılarına karşı artan hassasiyet.
  • Her alan için kullanılan ortam
  • Yanlış Yapılandırma: Üretimde alan tarafından kullanılan ortamı değiştirmek.
  • Risk: Üretimde mevcut olmaması gereken potansiyel sırların veya işlevlerin açığa çıkması.

Ortamlar

Amaç: Belirli ayarlar ve değişkenlerle farklı ortamları (Geliştirme, Önizleme, Üretim) tanımlamak.

Güvenlik Yapılandırmaları:

  • Ortam İzolasyonu
  • Yanlış Yapılandırma: Ortamlar arasında ortam değişkenlerini paylaşmak.
  • Risk: Üretim sırlarının geliştirme veya önizleme ortamlarına sızması, maruziyeti artırır.
  • Hassas Ortamlara Erişim
  • Yanlış Yapılandırma: Üretim ortamlarına geniş erişime izin vermek.
  • Risk: Yetkisiz değişiklikler veya canlı uygulamalara erişim, potansiyel kesintilere veya veri ihlallerine yol açabilir.

Ortam Değişkenleri

Amaç: Uygulama tarafından kullanılan ortam spesifik değişkenleri ve sırları yönetmek.

Güvenlik Yapılandırmaları:

  • Hassas Değişkenlerin Açığa Çıkması
  • Yanlış Yapılandırma: Hassas değişkenleri NEXT_PUBLIC_ ile öneklemek, bunları istemci tarafında erişilebilir hale getirir.
  • Risk: API anahtarlarının, veritabanı kimlik bilgilerinin veya diğer hassas verilerin kamuya açılması, veri ihlallerine yol açar.
  • Hassas devre dışı
  • Yanlış Yapılandırma: Devre dışı bırakıldığında (varsayılan) üretilen sırların değerlerini okumak mümkündür.
  • Risk: Hassas bilgilere kazara açılma veya yetkisiz erişim olasılığının artması.
  • Paylaşılan Ortam Değişkenleri
  • Yanlış Yapılandırma: Bunlar Ekip seviyesinde ayarlanan ortam değişkenleridir ve hassas bilgiler de içerebilir.
  • Risk: Hassas bilgilere kazara açılma veya yetkisiz erişim olasılığının artması.

Git

Amaç: Git deposu entegrasyonlarını, dal korumalarını ve dağıtım tetikleyicilerini yapılandırmak.

Güvenlik Yapılandırmaları:

  • Göz ardı Edilen Derleme Adımı (TODO)
  • Yanlış Yapılandırma: Bu seçeneğin, Github’a yeni bir commit gönderildiğinde çalıştırılacak bir bash scripti/komutları yapılandırmaya izin verdiği görünmektedir, bu da RCE’ye izin verebilir.
  • Risk: TBD

Entegrasyonlar

Amaç: Proje işlevselliğini artırmak için üçüncü taraf hizmetler ve araçlarla bağlantı kurmak.

Güvenlik Yapılandırmaları:

  • Güvensiz Üçüncü Taraf Entegrasyonları
  • Yanlış Yapılandırma: Güvenilmeyen veya güvensiz üçüncü taraf hizmetlerle entegrasyon.
  • Risk: Kompromize edilmiş entegrasyonlar aracılığıyla zafiyetlerin, veri sızıntılarının veya arka kapıların tanıtılması.
  • Aşırı İzinli Entegrasyonlar
  • Yanlış Yapılandırma: Entegre hizmetlere aşırı izinler vermek.
  • Risk: Proje kaynaklarına yetkisiz erişim, veri manipülasyonu veya hizmet kesintileri.
  • Entegrasyon İzleme Eksikliği
  • Yanlış Yapılandırma: Üçüncü taraf entegrasyonları izlemeyi ve denetlemeyi ihmal etmek.
  • Risk: Kompromize olmuş entegrasyonların gecikmeli tespiti, güvenlik ihlallerinin potansiyel etkisini artırır.

Dağıtım Koruması

Amaç: Dağıtımları çeşitli koruma mekanizmalarıyla güvence altına almak, kimlerin ortamlarınıza erişebileceğini ve dağıtım yapabileceğini kontrol etmek.

Güvenlik Yapılandırmaları:

Vercel Kimlik Doğrulaması

  • Yanlış Yapılandırma: Kimlik doğrulamayı devre dışı bırakmak veya ekip üyesi kontrollerini zorunlu kılmamak.
  • Risk: Yetkisiz kullanıcılar dağıtımlara erişebilir, bu da veri ihlallerine veya uygulama kötüye kullanımına yol açar.

Otomasyon için Koruma Atlatma

  • Yanlış Yapılandırma: Atlatma sırrını kamuya açmak veya zayıf sırlar kullanmak.
  • Risk: Saldırganlar dağıtım korumalarını atlatabilir, korunan dağıtımlara erişebilir ve bunları manipüle edebilir.

Paylaşılabilir Bağlantılar

  • Yanlış Yapılandırma: Bağlantıları kayıtsızca paylaşmak veya eski bağlantıları iptal etmemek.
  • Risk: Korunan dağıtımlara yetkisiz erişim, kimlik doğrulama ve IP kısıtlamalarını atlatma.

OPTIONS İzin Listesi

  • Yanlış Yapılandırma: Aşırı geniş yolları veya hassas uç noktaları izin listesine almak.
  • Risk: Saldırganlar, yetkisiz eylemler gerçekleştirmek veya güvenlik kontrollerini atlatmak için korunmayan yolları istismar edebilir.

Şifre Koruması

  • Yanlış Yapılandırma: Zayıf şifreler kullanmak veya bunları güvensiz bir şekilde paylaşmak.
  • Risk: Şifreler tahmin edilirse veya sızdırılırsa dağıtımlara yetkisiz erişim.
  • Not: Pro planında Gelişmiş Dağıtım Koruması kapsamında ek $150/ay karşılığında mevcuttur.

Dağıtım Koruma İstisnaları

  • Yanlış Yapılandırma: Üretim veya hassas alan adlarını istisna listesine yanlışlıkla eklemek.
  • Risk: Kritik dağıtımların kamuya açılması, veri sızıntılarına veya yetkisiz erişime yol açar.
  • Not: Pro planında Gelişmiş Dağıtım Koruması kapsamında ek $150/ay karşılığında mevcuttur.

Güvenilir IP’ler

  • Yanlış Yapılandırma: IP adreslerini veya CIDR aralıklarını yanlış belirtmek.
  • Risk: Meşru kullanıcıların engellenmesi veya yetkisiz IP’lerin erişim kazanması.
  • Not: Enterprise planında mevcuttur.

Fonksiyonlar

Amaç: Sunucusuz fonksiyonları, çalışma zamanı ayarlarını, bellek tahsisini ve güvenlik politikalarını yapılandırmak.

Güvenlik Yapılandırmaları:

  • Hiçbiri

Veri Önbelleği

Amaç: Performansı optimize etmek ve veri depolamasını kontrol etmek için önbellekleme stratejilerini ve ayarlarını yönetmek.

Güvenlik Yapılandırmaları:

  • Önbelleği Temizle
  • Yanlış Yapılandırma: Tüm önbelleği silmeye izin verir.
  • Risk: Yetkisiz kullanıcıların önbelleği silmesi, potansiyel bir DoS’a yol açar.

Cron Görevleri

Amaç: Belirli aralıklarla otomatik görevleri ve scriptleri çalıştırmak için zamanlamak.

Güvenlik Yapılandırmaları:

  • Cron Görevini Devre Dışı Bırak
  • Yanlış Yapılandırma: Kod içinde tanımlanan cron görevlerini devre dışı bırakmaya izin verir.
  • Risk: Hizmetin kesintiye uğraması (cron görevlerinin ne amaçla kullanıldığına bağlı olarak).

Log Drains

Amaç: İzleme ve denetleme için uygulama günlüklerini yakalamak ve depolamak üzere dış günlükleme hizmetlerini yapılandırmak.

Güvenlik Yapılandırmaları:

  • Hiçbiri (takım ayarlarından yönetilir)

Güvenlik

Amaç: Proje erişimini, kaynak korumasını ve daha fazlasını etkileyen çeşitli güvenlik ile ilgili ayarlar için merkezi bir merkez.

Güvenlik Yapılandırmaları:

Derleme Günlükleri ve Kaynak Koruması

  • Yanlış Yapılandırma: Korumayı devre dışı bırakmak veya /logs ve /src yollarını kamuya açmak.
  • Risk: Derleme günlüklerine ve kaynak koduna yetkisiz erişim, bilgi sızıntılarına ve potansiyel zafiyetlerin istismarına yol açar.

Git Fork Koruması

  • Yanlış Yapılandırma: Uygun incelemeler olmadan yetkisiz çekme isteklerine izin vermek.
  • Risk: Kötü niyetli kod, kod tabanına birleştirilebilir, zafiyetler veya arka kapılar tanıtabilir.

OIDC Federasyonu ile Güvenli Arka Uç Erişimi

  • Yanlış Yapılandırma: OIDC parametrelerini yanlış ayarlamak veya güvensiz verici URL’leri kullanmak.
  • Risk: Hatalı kimlik doğrulama akışları aracılığıyla arka uç hizmetlerine yetkisiz erişim.

Dağıtım Saklama Politikası

  • Yanlış Yapılandırma: Saklama sürelerini çok kısa (dağıtım geçmişini kaybetmek) veya çok uzun (gereksiz veri saklama) ayarlamak.
  • Risk: Gerekli olduğunda geri alma yapamama veya eski dağıtımlardan veri açığa çıkma riskinin artması.

Yeni Silinen Dağıtımlar

  • Yanlış Yapılandırma: Silinen dağıtımları izlememek veya yalnızca otomatik silmelere güvenmek.
  • Risk: Kritik dağıtım geçmişinin kaybı, denetimleri ve geri alımları engeller.

Gelişmiş

Amaç: Yapılandırmaları ince ayar yapmak ve güvenliği artırmak için ek proje ayarlarına erişim.

Güvenlik Yapılandırmaları:

Dizin Listeleme

  • Yanlış Yapılandırma: Dizin listelemeyi etkinleştirmek, kullanıcıların dizin içeriklerini bir indeks dosyası olmadan görüntülemesine izin verir.
  • Risk: Hassas dosyaların, uygulama yapısının ve saldırılar için potansiyel giriş noktalarının açığa çıkması.

Proje Güvenlik Duvarı

Güvenlik Duvarı

Güvenlik Yapılandırmaları:

Saldırı Zorlama Modunu Etkinleştir

  • Yanlış Yapılandırma: Bunu etkinleştirmek, web uygulamasının DoS’a karşı savunmalarını artırır ancak kullanılabilirlikten ödün verir.
  • Risk: Potansiyel kullanıcı deneyimi sorunları.

Özel Kurallar ve IP Engelleme

  • Yanlış Yapılandırma: Trafiği engellemek/açmak için izin verir.
  • Risk: Kötü niyetli trafiğe izin verme veya masum trafiği engelleme potansiyeli.

Proje Dağıtımı

Kaynak

  • Yanlış Yapılandırma: Uygulamanın tam kaynak kodunu okumak için erişim sağlar.
  • Risk: Hassas bilgilerin potansiyel açığa çıkması.

Eşitsizlik Koruması

  • Yanlış Yapılandırma: Bu koruma, istemci ve sunucu uygulamasının her zaman aynı sürümü kullanmasını sağlar, böylece istemcinin sunucudan farklı bir sürüm kullanması ve dolayısıyla birbirlerini anlamamaları durumu oluşmaz.
  • Risk: Bunu devre dışı bırakmak (eğer etkinse) gelecekte yeni dağıtımlarda DoS sorunlarına yol açabilir.

Ekip Ayarları

Genel

Güvenlik Yapılandırmaları:

  • Transfer
  • Yanlış Yapılandırma: Tüm projeleri başka bir ekibe aktarmaya izin verir.
  • Risk: Bir saldırgan projeleri çalabilir.
  • Proje Sil
  • Yanlış Yapılandırma: Tüm projelerle birlikte ekibi silmeye izin verir.
  • Risk: Projeleri silmek.

Faturalama

Güvenlik Yapılandırmaları:

  • Hız İçgörüleri Maliyet Limiti
  • Yanlış Yapılandırma: Bir saldırgan bu sayıyı artırabilir.
  • Risk: Artan maliyetler.

Üyeler

Güvenlik Yapılandırmaları:

  • Üye Ekle
  • Yanlış Yapılandırma: Bir saldırgan, kontrol ettiği bir hesabı davet ederek kalıcılık sağlayabilir.
  • Risk: Saldırgan kalıcılığı.
  • Roller
  • Yanlış Yapılandırma: İhtiyaç duymayan kişilere fazla izin vermek, Vercel yapılandırma riskini artırır. Tüm olası rolleri kontrol edin https://vercel.com/docs/accounts/team-members-and-roles/access-roles.
  • Risk: Vercel Ekibinin maruziyetini artırmak.

Erişim Grupları

Vercel’deki bir Erişim Grubu, önceden tanımlanmış rol atamaları ile bir araya getirilmiş projeler ve ekip üyelerinin bir koleksiyonudur ve çoklu projeler arasında merkezi ve akıcı erişim yönetimi sağlar.

Potansiyel Yanlış Yapılandırmalar:

  • Üyeleri Aşırı İzinlendirme: Gereğinden fazla izinlere sahip roller atamak, yetkisiz erişim veya eylemlere yol açabilir.
  • Yanlış Rol Atamaları: Ekip üyelerinin sorumluluklarıyla uyumlu olmayan roller atamak, ayrıcalıkların yükselmesine neden olabilir.
  • Proje Ayrımı Eksikliği: Hassas projeleri ayırmamak, istenenden daha geniş erişime izin verir.
  • Yetersiz Grup Yönetimi: Erişim Gruplarını düzenli olarak gözden geçirmemek veya güncellemeler yapmamak, güncel olmayan veya uygunsuz erişim izinlerine yol açar.
  • Tutarsız Rol Tanımları: Farklı Erişim Grupları arasında tutarsız veya belirsiz rol tanımları kullanmak, kafa karışıklığına ve güvenlik açıklarına yol açar.

Log Drains

Güvenlik Yapılandırmaları:

  • Üçüncü taraflara Log Drains:
  • Yanlış Yapılandırma: Bir saldırgan, logları çalmak için bir Log Drain yapılandırabilir.
  • Risk: Kısmi kalıcılık.

Güvenlik ve Gizlilik

Güvenlik Yapılandırmaları:

  • Ekip E-posta Alanı: Yapılandırıldığında, bu ayar, belirtilen alan adıyla (örneğin, mydomain.com) biten e-posta adreslerine sahip Vercel Kişisel Hesaplarını otomatik olarak davet eder.
  • Yanlış Yapılandırma:
  • Yanlış e-posta alanı belirtmek veya Ekip E-posta Alanı ayarında yanlış yazılmış bir alan kullanmak.
  • Şirket spesifik bir alan yerine yaygın bir e-posta alanı (örneğin, gmail.com, hotmail.com) kullanmak.
  • Riskler:
  • Yetkisiz Erişim: İstenmeyen alanlardan e-posta adreslerine sahip kullanıcılar, ekibinize katılmak için davet alabilir.
  • Veri Açığı: Hassas proje bilgilerini yetkisiz bireylere açma potansiyeli.
  • Korunan Git Kapsamları: Korunan kapsamdan diğer Vercel ekiplerinin depo dağıtımını önlemek için ekibinize 5’e kadar Git kapsamı eklemenize izin verir. Birden fazla ekip aynı kapsamı belirtebilir, her iki ekibin de erişimi olur.
  • Yanlış Yapılandırma: Kritik Git kapsamlarını korunan listeye eklememek.
  • Riskler:
  • Yetkisiz Dağıtımlar: Diğer ekipler, kuruluşunuzun Git kapsamlarından yetkisiz olarak depo dağıtabilir.
  • Fikri Mülkiyet Açığı: Sahip kod, ekibinizin dışında dağıtılabilir ve erişilebilir.
  • Ortam Değişkeni Politikaları: Ekibin ortam değişkenlerinin oluşturulması ve düzenlenmesi için politikaları zorunlu kılar. Özellikle, tüm ortam değişkenlerinin yalnızca Vercel’in dağıtım sistemi tarafından şifrelenebilen Hassas Ortam Değişkenleri olarak oluşturulmasını zorunlu kılabilirsiniz.
  • Yanlış Yapılandırma: Hassas ortam değişkenlerinin zorunluluğunu devre dışı bırakmak.
  • Riskler:
  • Sırların Açığa Çıkması: Ortam değişkenleri, yetkisiz ekip üyeleri tarafından görüntülenebilir veya düzenlenebilir.
  • Veri İhlali: API anahtarları ve kimlik bilgileri gibi hassas bilgilerin sızdırılması.
  • Denetim Günlüğü: Ekibin etkinliğinin son 90 güne kadar bir dışa aktarımını sağlar. Denetim günlükleri, ekip üyeleri tarafından gerçekleştirilen eylemleri izlemeye ve takip etmeye yardımcı olur.
  • Yanlış Yapılandırma:
    Yetkisiz ekip üyelerine denetim günlüklerine erişim vermek.
  • Riskler:
  • Gizlilik İhlalleri: Hassas kullanıcı etkinlikleri ve verilerin açığa çıkması.
  • Günlüklerle Oynama: Kötü niyetli aktörler, izlerini örtmek için günlükleri değiştirebilir veya silebilir.
  • SAML Tek Oturum Açma: Ekibiniz için SAML kimlik doğrulamasını ve dizin senkronizasyonunu özelleştirmenize olanak tanır, merkezi kimlik doğrulama ve kullanıcı yönetimi için bir Kimlik Sağlayıcı (IdP) ile entegrasyon sağlar.
  • Yanlış Yapılandırma: Bir saldırgan, SAML parametrelerini (örneğin, Varlık Kimliği, SSO URL’si veya sertifika parmak izleri) ayarlayarak ekibi arka kapı ile kurabilir.
  • Risk: Kalıcılığı sürdürmek.
  • IP Adresi Görünürlüğü: IP adreslerinin, belirli veri koruma yasaları altında kişisel bilgi olarak kabul edilebileceği durumlarda, İzleme sorgularında ve Log Drains’de görüntülenip görüntülenmeyeceğini kontrol eder.
  • Yanlış Yapılandırma: Gereksiz yere IP adresi görünürlüğünü etkin bırakmak.
  • Riskler:
  • Gizlilik İhlalleri: GDPR gibi veri koruma düzenlemelerine uyumsuzluk.
  • Hukuki Sonuçlar: Kişisel verilerin kötü yönetimi nedeniyle potansiyel para cezaları ve yaptırımlar.
  • IP Engelleme: Vercel’in istekleri engellemesi gereken IP adreslerini ve CIDR aralıklarını yapılandırmanıza olanak tanır. Engellenen istekler, faturalamanıza katkıda bulunmaz.
  • Yanlış Yapılandırma: Bir saldırgan tarafından kötü niyetli trafiğe izin vermek veya meşru trafiği engellemek için kötüye kullanılabilir.
  • Riskler:
  • Meşru Kullanıcılara Hizmet Reddi: Geçerli kullanıcılar veya ortaklar için erişimi engelleme.
  • Operasyonel Kesintiler: Belirli bölgeler veya müşteriler için hizmetin kullanılabilirliğinin kaybı.

Güvenli Hesaplama

Vercel Güvenli Hesaplama, Vercel Fonksiyonları ile arka uç ortamları (örneğin, veritabanları) arasında güvenli, özel bağlantılar sağlar ve özel IP adresleri ile izole ağlar kurar. Bu, arka uç hizmetlerini kamuya açma ihtiyacını ortadan kaldırarak güvenliği, uyumu ve gizliliği artırır.

Potansiyel Yanlış Yapılandırmalar ve Riskler

  1. Yanlış AWS Bölgesi Seçimi
  • Yanlış Yapılandırma: Güvenli Hesaplama ağı için arka uç hizmetlerinin bölgesiyle eşleşmeyen bir AWS bölgesi seçmek.
  • Risk: Artan gecikme, potansiyel veri ikamet uyumu sorunları ve kötüleşen performans.
  1. Çakışan CIDR Blokları
  • Yanlış Yapılandırma: Mevcut VPC’lerle veya diğer ağlarla çakışan CIDR blokları seçmek.
  • Risk: Ağ çatışmaları, başarısız bağlantılar, yetkisiz erişim veya ağlar arasında veri sızıntısına yol açabilir.
  1. Yanlış VPC Peering Yapılandırması
  • Yanlış Yapılandırma: VPC peering’i yanlış ayarlamak (örneğin, yanlış VPC kimlikleri, eksik yönlendirme tablosu güncellemeleri).
  • Risk: Arka uç altyapısına yetkisiz erişim, güvenli bağlantıların başarısız olması ve potansiyel veri ihlalleri.
  1. Aşırı Proje Atamaları
  • Yanlış Yapılandırma: Uygun izolasyon olmadan tek bir Güvenli Hesaplama ağına birden fazla proje atamak.
  • Risk: Paylaşılan IP açığı, saldırı yüzeyini artırır ve potansiyel olarak tehlikeye atılmış projelerin diğerlerini etkilemesine izin verir.
  1. Yetersiz IP Adresi Yönetimi
  • Yanlış Yapılandırma: Ayrıcalıklı IP adreslerini uygun şekilde yönetmemek veya döndürmemek.
  • Risk: IP sahteciliği, izleme zafiyetleri ve IP’lerin kötü niyetli faaliyetlerle ilişkilendirilmesi durumunda potansiyel kara listeye alınma.
  1. Gereksiz Derleme Konteynerlerini Dahil Etme
  • Yanlış Yapılandırma: Arka uç erişimi gerekmeyen durumlarda Güvenli Hesaplama ağına derleme konteynerlerini eklemek.
  • Risk: Genişleyen saldırı yüzeyi, artan tahsis gecikmeleri ve ağ kaynaklarının gereksiz tüketimi.
  1. Atlatma Sırlarını Güvenli Bir Şekilde Yönetmeme
  • Yanlış Yapılandırma: Dağıtım korumalarını atlatmak için kullanılan sırları açığa çıkarmak veya yanlış yönetmek.
  • Risk: Korunan dağıtımlara yetkisiz erişim, saldırganların kötü niyetli kodu manipüle etmesine veya dağıtmasına izin verir.
  1. Bölge Yedekleme Yapılandırmalarını Görmezden Gelme
  • Yanlış Yapılandırma: Pasif yedekleme bölgeleri kurmamak veya yedekleme ayarlarını yanlış yapılandırmak.
  • Risk: Birincil bölge kesintileri sırasında hizmet kesintisi, kullanılabilirliğin azalması ve potansiyel veri tutarsızlığı.
  1. VPC Peering Bağlantı Sınırlarını Aşma
  • Yanlış Yapılandırma: İzin verilen sınırdan daha fazla VPC peering bağlantısı kurmaya çalışmak (örneğin, 50 bağlantıyı aşmak).
  • Risk: Gerekli arka uç hizmetlerine güvenli bir şekilde bağlanamama, dağıtım hataları ve operasyonel kesintiler.
  1. Güvensiz Ağ Ayarları
  • Yanlış Yapılandırma: Zayıf güvenlik duvarı kuralları, şifreleme eksikliği veya Güvenli Hesaplama ağı içinde yanlış ağ segmentasyonu.
  • Risk: Veri kesintisi, arka uç hizmetlerine yetkisiz erişim ve saldırılara karşı artan zafiyet.

Ortam Değişkenleri

Amaç: Tüm projelerde kullanılan ortam spesifik değişkenleri ve sırları yönetmek.

Güvenlik Yapılandırmaları:

  • Hassas Değişkenlerin Açığa Çıkması
  • Yanlış Yapılandırma: Hassas değişkenleri NEXT_PUBLIC_ ile öneklemek, bunları istemci tarafında erişilebilir hale getirir.
  • Risk: API anahtarlarının, veritabanı kimlik bilgilerinin veya diğer hassas verilerin kamuya açılması, veri ihlallerine yol açar.
  • Hassas devre dışı
  • Yanlış Yapılandırma: Devre dışı bırakıldığında (varsayılan) üretilen sırların değerlerini okumak mümkündür.
  • Risk: Hassas bilgilere kazara açılma veya yetkisiz erişim olasılığının artması.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin