Black Hat USA: Kasıtlı olarak savunmasız AWS, Azure bulut altyapısı bir kalem testçisinin oyun alanıdır

   Ağustos 11, 2022  Posted in PortSwigger


AWSGoat ve AzureGoat araçları bu hafta Las Vegas’ta sergilendi

Resim: Tada Images / Shutterstock // PortSwigger Ltd

INE’den güvenlik uzmanları, dün (10 Ağustos) Black Hat ABD’de penetrasyon testi araçları AWSGoat ve AzureGoat’ı sergiledikleri için çifte faturalandırmanın keyfini çıkardılar.

Amazon Web Services (AWS) ve Microsoft Azure, Google Cloud Platform (GCP) ile birlikte bulut altyapısındaki en büyük isimlerden ikisidir.

Bulut hala nispeten yeni bir fenomen olduğundan, birçok geliştirici tehdit ortamının tam olarak farkında değil ve istemeden savunmasız bulut altyapısını dağıtabilir.

Bazen basit bir yanlış yapılandırma veya web uygulaması güvenlik açığı, bir saldırganın bir kuruluşun ortamını tamamen tehlikeye atması için ihtiyaç duyduğu tek şeydir.

Önleyici saldırılar

Bu hafta Las Vegas’taki Black Hat Arsenal oturumlarında sergilenen AWSGoat ve AzureGoat, güvenlik meraklılarına ve kalem testçilerine kurulumu kolay, savunmasız bir altyapı sağlamayı amaçlıyor.

Burada, bulut uygulamalarını nasıl sıralayacaklarını, güvenlik açıklarını belirlemeyi ve AWS veya Azure hesabını tehlikeye atmak için çeşitli saldırıları zincirlemeyi öğrenebilirler.

Tasarım gereği savunmasız altyapı, OWASP Top 10 web uygulaması güvenlik tehditlerinin tehlikelerini gözler önüne seriyor.

AWSgoat ayrıca IAM, S3, API Gateway, Lambda, EC2 ve ECS gibi hizmetlere dayalı yanlış yapılandırmalara sahiptir.

Black Hat ABD’den en son haberleri okuyun

AWSgoat geliştiricileri, AWS için “çok sayıda araç ve güvenlik açığı bulunan uygulama” bulunduğunu söylese de Azure için durum böyle değil.

BT ve güvenlik eğitimi firması INE’den bir ekip, “AzureGoat, boşluğu kısaltma girişimimizdir” dedi. “Topluluk için çok daha az seçenek var.”

Kullanıcı, önceden oluşturulmuş bir Docker görüntüsü ve komut dosyaları kullanarak Azure Goat’ı Azure hesaplarına dağıtabilecektir. AzureGoat, dağıtıldıktan sonra hedef uygulama için kullanılabilir ve daha sonra kolayca silinebilir.

Hem AWSgoat hem de AzureGoat için tüm kod ve dağıtım komut dosyaları açık kaynak haline getirilmiştir.

ÖNERİLEN ReNgine yükseltmesi: Yeni alt tarama özelliği, Black Hat ABD’de sergilenen genişletilmiş araç kutusu



Source link