Telegram Group & Telegram Channel
Telegram Group » Hong Kong » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Webview » Post 4120
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/hk/Библиотека хакера | Hacking Infosec ИБ информационная безопасность/com.hackproglib/4120
1.3K views



tg-me.com/hackproglib/4120
Create:
Last Update:

📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4120

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

Telegram auto-delete message, expiring invites, and more

elegram is updating its messaging app with options for auto-deleting messages, expiring invite links, and new unlimited groups, the company shared in a blog post. Much like Signal, Telegram received a burst of new users in the confusion over WhatsApp’s privacy policy and now the company is adopting features that were already part of its competitors’ apps, features which offer more security and privacy. Auto-deleting messages were already possible in Telegram’s encrypted Secret Chats, but this new update for iOS and Android adds the option to make messages disappear in any kind of chat. Auto-delete can be enabled inside of chats, and set to delete either 24 hours or seven days after messages are sent. Auto-delete won’t remove every message though; if a message was sent before the feature was turned on, it’ll stick around. Telegram’s competitors have had similar features: WhatsApp introduced a feature in 2020 and Signal has had disappearing messages since at least 2016.

Tata Power whose core business is to generate, transmit and distribute electricity has made no money to investors in the last one decade. That is a big blunder considering it is one of the largest power generation companies in the country. One of the reasons is the company's huge debt levels which stood at ₹43,559 crore at the end of March 2021 compared to the company’s market capitalisation of ₹44,447 crore.

Библиотека хакера | Hacking Infosec ИБ информационная безопасность from hk


📌 Как тестировать безопасность облачных инфраструктур1️⃣ Подготавливаем окружение:• Зафиксируйте цели

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
Webview: 4120
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram Webview
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA