一文掌握云服务渗透测试要点：AWS、阿里云、腾讯云、Azure 全面攻防指南

本指南系统梳理了主流云平台（AWS、阿里云、腾讯云、Azure）的渗透测试重点，覆盖身份权限、存储安全、计算资源、网络配置、函数服务与日志监控六大攻击面，适用于红队演练、安全审计与攻防演习等场景。

☁️ 通用云服务渗透测试要点

🔐 身份与访问管理（IAM）

• 弱权限策略（如 *:*）存在被滥用风险
• AccessKey、SecretKey 泄露易导致远程访问
• AssumeRole / STS 临时凭证可用于横向提权
• 枚举权限策略、寻找高权限角色是提权关键

📦 存储服务风险

• 存储桶设置为公有读/写，可能导致敏感文件泄露
• 上传恶意脚本用于站点注入（如 XSS）
• 静态托管页面+JS 注入可进一步植入攻击逻辑

🖥️ 计算资源攻击面

• 云主机（如 ECS、EC2、CVM）暴露 SSH/RDP 端口
• 用户数据（UserData）中泄露凭据
• SSRF 利用元数据服务（169.254.169.254）获取 IAM 角色信息，实现权限提升

🌐 网络配置错误

• 安全组未限制入站访问（如 0.0.0.0/0）
• VPC 路由配置疏忽暴露内网服务
• ELB 配置不当导致后端服务泄露

🧠 Serverless 函数服务

• 函数触发器（如 COS 上传、API 调用）未授权
• 环境变量中包含密钥
• 任意调用函数执行任意命令（如远程代码执行）

📊 日志与审计

• 未开启或配置错误的日志服务（如 CloudTrail、ActionTrail、CLS、Azure Monitor）
• 可关闭日志记录绕过审计机制

🟧 AWS 渗透测试重点

身份权限

• 弱策略（如 AdministratorAccess）分配过广
• 使用 STS AssumeRole 横向移动
• 探测泄露的 AccessKey/SecretKey（利用 awscli 或工具）

存储服务（S3）

• S3 Bucket 公有可读/写
• 静态网站托管脚本注入
• 列出 Bucket 文件寻找敏感内容

计算服务（EC2）

• UserData 暴露密钥
• EC2 元数据 SSRF 提权
• 镜像或快照泄露（AMI/Snapshot）

函数服务（Lambda）

• 函数环境变量泄露密码
• 利用触发器执行后门逻辑

日志监控（CloudTrail）

• 检查是否开启审计日志
• 能否通过权限关闭 CloudTrail 记录

🟥 阿里云 渗透测试重点

账号权限（RAM）

• RAM 用户拥有 AdminAccess 权限
• AccessKey 泄露后可直接控制资源
• RAM 角色切换滥用提权

存储服务（OSS）

• OSS Bucket 设置为公共可读写
• 上传木马或 XSS 脚本用于引导攻击

ECS 实例

• 公网暴露 SSH/RDP 登录端口
• 自定义镜像中存在后门
• UserData/Cloud-init 脚本含明文密码

函数计算（FC）

• API 网关未做身份校验
• 文件上传触发执行逻辑可构造 RCE

审计（ActionTrail）

• 是否启用关键操作记录
• 是否可通过权限绕过日志写入

🟦 腾讯云 渗透测试重点

访问控制（CAM）

• 临时密钥泄露或权限过大
• 使用 AssumeRole 横向权限提升

COS 存储

• 公共读/写权限导致敏感文件泄露
• 支持静态网站托管 + JS 注入

CVM 云主机

• SSH/RDP 端口未限制访问
• 元数据 SSRF 泄露 STS 临时凭证
• 云硬盘快照公开访问

Serverless 云函数（SCF）

• 函数触发器（COS 上传）允许任意调用
• 函数环境变量包含 AK/SK

日志服务（CLS）

• 未启用关键操作审计
• 可通过权限修改日志记录策略

🟩 Azure 渗透测试重点

Azure Active Directory (AAD)

• Client_ID / Client_Secret 被硬编码泄露
• 应用注册对象权限过大
• Azure AD Connect 可用于导出 Hash

存储账户（Blob）

• 设置为匿名公共访问
• 静态托管网站可用于注入脚本

虚拟机 VM

• 暴露公网 RDP 登录端口
• 自定义扩展脚本含敏感信息
• 利用 Managed Identity 提权

Azure Function / Logic Apps

• HTTP Trigger 任意访问
• 环境变量或配置文件泄露密钥

审计日志（Log Analytics）

• 审计未开启或未记录所有操作
• 诊断设置未锁定，可被篡改