AWSGoat, proyecto de pen testing de código abierto para soluciones de AWS

Con motivo de la conferencia BlackHat celebrada en Las Vegas a principios de agosto, un equipo del INE, editor de una plataforma de e-learning sobre diversos temas de TI, presentó una solución de pen testing para servicios AWS. Llamado AWSGoat, el proyecto de código abierto verifica la confiabilidad de diferentes escenarios basados ​​en las ofertas del proveedor de la nube como IAM, S3, API Gateway, Lambda, EC2 y ECS.

Para llevar a cabo su experiencia, AWSGoat se basa en la lista de las 10 vulnerabilidades principales de OWASP en las aplicaciones web. También incluye errores de configuración en los servicios de AWS. En su cartera, tiene un conjunto de vectores de ataque: XSS, inyección de SQL, referencia directa de objetos inseguros, falsificación de solicitudes del lado del servidor en el entorno de la función de la aplicación, exposición de datos confidenciales y restablecimiento de contraseña. contraseña, mala configuración de cuentas de almacenamiento e identidad. Una lista de posibilidades y tutoriales están disponibles en YouTube.

Diferentes módulos de simulación

Antes de dedicarse a los entornos de AWS, el programa ya se adaptó para Azure de Microsoft. Incluye las mismas funciones y los mismos vectores de ataque. Por ejemplo, AzureGoat integra un módulo que presenta una aplicación de blog en modo sin servidor a través de Azure App Functions, Storage Accounts, CosmosDB y Azure Automation para realizar la prueba de penetración.

Este módulo en AWSGoat ofrece la misma aplicación de blogs pero basada en Lambda, S3, API Gateway y DynamoDB. La comunidad está trabajando en un segundo módulo que incluye la implementación de una aplicación dedicada a los recursos humanos utilizando la infraestructura de ECS. Para obtener más información, el proyecto de código abierto está disponible en GitHub.