入侵组织的云基础设施就像是攻击者的金矿。有时,一个简单的配置错误或 Web 应用程序中的漏洞,就足以让攻击者入侵整个基础设施。由于云相对较新,许多开发人员并未充分意识到威胁形势,最终部署了一个易受攻击的云基础设施。
GCPGoat 在 GCP 上设计基础架构时存在漏洞,包括最新发布的 OWASP 十大 Web 应用程序安全风险(2021 年)以及基于 IAM、存储桶、云函数和计算引擎等服务的其他错误配置。GCPGoat 模拟了现实世界的基础架构,但增加了漏洞。它具有多种升级路径,并专注于黑盒方法。
GCPGoat 使用 IaC(Terraform)在用户的 GCP 帐户上部署易受攻击的云基础设施。这使用户可以完全控制代码、基础设施和环境。使用 GCPGoat,用户可以学习/练习:
-
云渗透测试/红队
-
审计 IC
-
安全编码
-
检测和缓解
该项目将分为多个模块,每个模块将是一个单独的 Web 应用程序,由不同的技术堆栈和开发实践提供支持。它将通过 Terraform 利用 IaC 来简化部署过程。
漏洞
该项目计划涵盖所有重大漏洞,包括 OWASP TOP 10 2021 和常见的云配置错误。目前,该项目包含以下漏洞/配置错误。
-
跨站脚本
-
不安全的直接对象引用
-
云函数中的服务端请求伪造
-
敏感数据暴露和密码重置
-
存储桶配置错误
-
IAM 权限升级
https://github.com/ine-labs/GCPGoat#getting-started
原文始发于微信公众号(TtTeam):GCPGoat:极其脆弱的 GCP 基础设施
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论