Impara l'hacking di AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi i tuoi trucchi di hacking inviando PR ai repository di HackTricks e HackTricks Cloud su GitHub.
I token e i dati sensibili vengono archiviati localmente da Azure CLI, sollevando preoccupazioni sulla sicurezza:
- Token di Accesso: Archiviati in chiaro all'interno di
accessTokens.json
situato inC:\Users\<username>\.Azure
. - Informazioni di Sottoscrizione:
azureProfile.json
, nella stessa directory, contiene i dettagli della sottoscrizione. - File di Log: La cartella
ErrorRecords
all'interno di.azure
potrebbe contenere log con credenziali esposte, come:
- Comandi eseguiti con credenziali incorporate.
- URL accessati utilizzando token, potenzialmente rivelando informazioni sensibili.
Azure PowerShell archivia anche token e dati sensibili, che possono essere accessibili localmente:
- Token di Accesso:
TokenCache.dat
, situato inC:\Users\<username>\.Azure
, archivia i token di accesso in chiaro. - Segreti del Principale del Servizio: Questi vengono archiviati non crittografati in
AzureRmContext.json
. - Funzionalità di Salvataggio del Token: Gli utenti hanno la possibilità di persistere i token utilizzando il comando
Save-AzContext
, che dovrebbe essere utilizzato con cautela per prevenire l'accesso non autorizzato.
Considerando l'archiviazione dei dati sensibili in chiaro, è fondamentale proteggere questi file e directory:
- Limitare i diritti di accesso a questi file.
- Monitorare e verificare regolarmente queste directory per l'accesso non autorizzato o le modifiche impreviste.
- Utilizzare la crittografia per i file sensibili quando possibile.
- Educare gli utenti sui rischi e le migliori pratiche per gestire tali informazioni sensibili.
Impara l'hacking di AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi i tuoi trucchi di hacking inviando PR ai repository di HackTricks e HackTricks Cloud su GitHub.