AWSGoat, proyecto de pen testing de código abierto para soluciones de AWS

hace 2 años

Un equipo del INE ha desarrollado una herramienta para realizar pruebas de penetración en los servicios de AWS. Denominado AWSGoat, es un proyecto de código abierto que ya existe para Azure.

Con motivo de la conferencia BlackHat celebrada en Las Vegas a principios de agosto, un equipo del INE, editor de una plataforma de e-learning sobre diversos temas de TI, presentó una solución de pen testing para servicios AWS. Llamado AWSGoat, el proyecto de código abierto verifica la confiabilidad de diferentes escenarios basados ​​en las ofertas del proveedor de la nube como IAM, S3, API Gateway, Lambda, EC2 y ECS.

Para llevar a cabo su experiencia, AWSGoat se basa en la lista de las 10 vulnerabilidades principales de OWASP en las aplicaciones web. También incluye errores de configuración en los servicios de AWS. En su cartera, tiene un conjunto de vectores de ataque: XSS, inyección de SQL, referencia directa de objetos inseguros, falsificación de solicitudes del lado del servidor en el entorno de la función de la aplicación, exposición de datos confidenciales y restablecimiento de contraseña. contraseña, mala configuración de cuentas de almacenamiento e identidad. Una lista de posibilidades y tutoriales están disponibles en YouTube.

Diferentes módulos de simulación

Antes de dedicarse a los entornos de AWS, el programa ya se adaptó para Azure de Microsoft. Incluye las mismas funciones y los mismos vectores de ataque. Por ejemplo, AzureGoat integra un módulo que presenta una aplicación de blog en modo sin servidor a través de Azure App Functions, Storage Accounts, CosmosDB y Azure Automation para realizar la prueba de penetración.

Este módulo en AWSGoat ofrece la misma aplicación de blogs pero basada en Lambda, S3, API Gateway y DynamoDB. La comunidad está trabajando en un segundo módulo que incluye la implementación de una aplicación dedicada a los recursos humanos utilizando la infraestructura de ECS. Para obtener más información, el proyecto de código abierto está disponible en GitHub.

Si quieres conocer otros artículos parecidos a AWSGoat, proyecto de pen testing de código abierto para soluciones de AWS puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad