Telegram Group & Telegram Channel
📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM



tg-me.com/hackproglib/4120
Create:
Last Update:

📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4120

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

Should I buy bitcoin?

“To the extent it is used I fear it’s often for illicit finance. It’s an extremely inefficient way of conducting transactions, and the amount of energy that’s consumed in processing those transactions is staggering,” the former Fed chairwoman said. Yellen’s comments have been cited as a reason for bitcoin’s recent losses. However, Yellen’s assessment of bitcoin as a inefficient medium of exchange is an important point and one that has already been raised in the past by bitcoin bulls. Using a volatile asset in exchange for goods and services makes little sense if the asset can tumble 10% in a day, or surge 80% over the course of a two months as bitcoin has done in 2021, critics argue. To put a finer point on it, over the past 12 months bitcoin has registered 8 corrections, defined as a decline from a recent peak of at least 10% but not more than 20%, and two bear markets, which are defined as falls of 20% or more, according to Dow Jones Market Data.

Launched in 2013, Telegram allows users to broadcast messages to a following via “channels”, or create public and private groups that are simple for others to access. Users can also send and receive large data files, including text and zip files, directly via the app.The platform said it has more than 500m active users, and topped 1bn downloads in August, according to data from SensorTower.Библиотека хакера | Hacking Infosec ИБ информационная безопасность from fr


Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA