网络安全研究人员披露了两种针对基础设施即代码 (IaC) 和策略即代码 (PaC) 工具的新攻击技术,例如 HashiCorp 的 Terraform 和 Open Policy Agent (OPA...
XMGoat:一款针对Azure的环境安全检测工具
关于XMGoatXMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。每个模板都是一个用于安...
使用 Terraform 实现红队基础设施自动化
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
CICD之Atlantis安全
CICD系列第三篇,可能相对数据安全这种热门、渗透技能这类常青树来说,相对偏冷门点,很多时候在遇到大型互联网企业的架构时,往往会发现关于CICD发版流程中的一些知识点比较难找,主要是可能我也不会,所以...
分享免费24个云安全靶场
点击蓝字,关注网络安全资源库AWShttps://pentesting.cloud/17个免费实验室,需要注册,部分实验室自带AWS账号,使用cloudformation创建https://aws.a...
免费的云原生安全学习实验室列表。包括 CTF、自托管研讨会、指导漏洞实验室和研究实验室。
AWSPentesting.Cloud: :17个免费实验室。需要网站注册。AWS CIRT Workshop:构建您自己的 AWS 账户并探索 AWS CIRT 团队所见的 5 种常见事件响应场景。...
SCARLETEEL:利用Terraform、Kubernetes和AWS窃取数据的黑客活动
Sysdig威胁研究团队最近在客户环境中发现了一起导致专有数据被盗的复杂云活动:SCARLETEEL。攻击者利用容器化的工作负载将特权升级到AWS帐户,以便盗取专有软件和凭据。他们还企图使用Terra...
云服务安全笔记云服务器
该内容记录如何通过ssrf漏洞,获取云服务器元数据信息以及可能造成的危害。环境搭建可手动在腾讯云服务器上根据所需创建,也可通过开源项目https://github.com/HXSecurity/Ter...
关于配置 Terraform 的五条建议
导读:本文介绍我使用 Terraform 五年之后吸取到的经验。 本文字数:2368,阅读时长大约:4分钟使用 Terraform 五年...
从云服务器 SSRF 漏洞到接管你的阿里云控制台
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x00 前言本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF...
Terraform 使用入门以及在云上攻防中的作用
文章首发于:火线Zone社区(https://zone.huoxian.cn/)0x00 前言Terraform 是一种资源编排工具,通过它可以很方便的去构建云服务资源,本文将以「在腾讯云上创建一个 ...
用GitLab做IaC的CI/CD
本周真正完成用GitLab做IaC的CI/CD,先在GitLab所在主机安装runner,curl -LJO "https://gitlab-runner-downloads.s3.amazonaws...