Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Облаци (Cloud Hacking)


Препоръчан пост


  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  15
  • Репутация:   16
  • Спечелени дни:  7
  • Регистриран на:  13.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Здравейте, колеги и ентусиасти,
от скоро ми се наложи да тествам сигурността на "облаци" и по-специално AWS.
Попаднаха ми 2 инструмента, за които бих споделил няколко думи:

Prowler - безплатно инструментче, което служи като скенер за съответствие с най-различни стандарти, примерно PCI-DSS и др. Инсталира се, вкарват се ключовете от aws, пуска се скан и генерира репорт в поне три формата - json, csv, html. Html ми хареса най-много - отваря се в браузър, има филтри и е доста добре четимо на човешки език. Въпреки че е за compliance, според мен може да прибави стойност към пентест, особено ако има критични открития.
източник: https://github.com/prowler-cloud/prowler

Pacu - нещо като метасплойт за клауд. AWS exploitation framework - има много модули с възможност за добавяне/писане на нови. Пича, който го е правил казва че за в бъдеще може да прерастне и в по-голям фреймуърк включващ и другите клауд доставчици, но за сега се фокусират над aws. Мисля че го ъпдейтват горе=долу редовно, не е изоставен инструмент. Има модули за енумерация, експлоатиране, пост-експлоатация и други. Поради липса на алтернативи за експлоатация на облаци, това е един от топ инструментите, според мен, който има възможност за малко по-автоматизирано пентестване на клауд. Другата алтернатива, естествено е ръчно хакване, но това изисква доста задълбочени познания, инвестиция на време и т.н. За това бих Ви го препоръчл да го пробвате, ако Ви се отдаде възможност.
източник: https://github.com/RhinoSecurityLabs/pacu

Споделям и едно хубаво и обемисто репо с още инструменти, но тях не съм изпробвал още и не мога да дам лично мнение:
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Ще се радвам да споделите нещо от Вашия опит с клауд ;]
Лека и приятно хакване на всички!

Link to comment
Сподели другаде

  • 2 седмици по-късно...

  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  15
  • Репутация:   16
  • Спечелени дни:  7
  • Регистриран на:  13.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

h3xu
This post was recognized by h3xu!

"Супер контент споделяш, благодаря за помощта"

5t3f4nh4k получи 20 точки.

В допълнение към темата, един колега е постнал много хубав материал за AWS pentesting. Можете да го видите и да си го дръпнете от LinkedIn поста му:
https://www.linkedin.com/posts/yildizokan_cloud-aws-pentest-activity-7077559110040203264-p5Ql?utm_source=share&utm_medium=member_desktop

Качвам го и аз тук, ако нямате профил там или ако не може да се види при положение, че не сте му приятел.
Този профил качва редовно най-различни такива материали и силно го препоръчвам.
Това е профилът му:
image.png.a9c0e6fbabba572d3d8d777d6390339c.png

 

cloud aws pentest.pdf

Редактирано от 5t3f4nh4k
Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  15
  • Репутация:   16
  • Спечелени дни:  7
  • Регистриран на:  13.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

същия източник само че за Azure pentesting

 

cloud azure pentest.pdf

Link to comment
Сподели другаде

  • 1 месец по-късно...

  • Група:  [Член]
  • Последователи:  0
  • Брой мнения:  15
  • Репутация:   16
  • Спечелени дни:  7
  • Регистриран на:  13.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Намерих един challenge сайт ( http://flaws.cloud ) за AWS пентестинг, ако ви интересува.
Състои се от 6 нива, 3 от които са направени от Network Chuck в youtube канала му. Има и хинтове.

Кофтито е, че ви трябва амазон акаунт от второ ниво, но принципно можете да си направите безплатно, с кредитна карта. Съветвам ви ако си направите, след предизвикателството да си го закриете, понеже амазон може да започне да ви таксува автоматично. Или да си го откриете с някакъв тип временна карта, без пари в нея или с 1 долар.

Можете и просто да разгледате и да цъкате на хинтовете за да минавате на следващите нива - ей така за обща култура, просто да видите как се пентества AWS. Дори да гледате само видеото на Чък - пак си е готино.

Приятно хакване! 😉

Редактирано от 5t3f4nh4k
Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

transparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.pngLogonobackground.thumb.png.546f31037e975b6fd85c69e35f300db6.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy