Telegram Group & Telegram Channel
📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM



tg-me.com/hackproglib/4120
Create:
Last Update:

📌 Как тестировать безопасность облачных инфраструктур

1️⃣ Подготавливаем окружение:

• Зафиксируйте цели, допустимые действия, допустимый ущерб (ROE)

• Определить зону тестирования и уточните какие сервисы используются (EC2, S3, IAM, Lambda и т.д.)

• Включите логирование — CloudTrail, GuardDuty

2️⃣ Собираем информацию:

• Определите публичные сервисы/ресурсы: S3-бакеты, API Gateway, EC2-инстансы

• Проверьте открытые DNS-записи (dig, nslookup, Amass)

3️⃣ Анализируем права доступа:

• Проверьте на наличие избыточных прав (например, *:* в политиках)

• Поищите роли, которые можно перехватить или эскалировать

• Проверьте учетные данные в переменных среды, Lambda, EC2 UserData

4️⃣ Проверяем хранилища:

• Найдите публичные бакеты

aws s3 ls s3://bucket-name --no-sign-request

• Проверьте разрешения: чтение, запись, листинг

s3:ListBucket, s3:GetObject

• Попробуйте bucket takeover через DNS или CNAME

5️⃣ Тестируем сетевую безопасность:

• Проанализируйте Security Groups и NACLs: открытые порты, экспонированные сервисы

• Поищите интернал-сервисов через разрешённые VPC endpoints

6️⃣ Атакуем бессерверные сервисы:

• Протестируйте API на ошибки (XSS, IDOR, Injection)

• Поищите секреты в ENV, логи, исходный код

7️⃣ Проводим постэксплуатацию:

• Исследуйте другие регионы, сервисы, связанные аккаунты

• Создайте скрытые Lambda-функции или роли с автоматическим запуском.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4120

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

Unlimited members in Telegram group now

Telegram has made it easier for its users to communicate, as it has introduced a feature that allows more than 200,000 users in a group chat. However, if the users in a group chat move past 200,000, it changes into "Broadcast Group", but the feature comes with a restriction. Groups with close to 200k members can be converted to a Broadcast Group that allows unlimited members. Only admins can post in Broadcast Groups, but everyone can read along and participate in group Voice Chats," Telegram added.

That growth environment will include rising inflation and interest rates. Those upward shifts naturally accompany healthy growth periods as the demand for resources, products and services rise. Importantly, the Federal Reserve has laid out the rationale for not interfering with that natural growth transition.It's not exactly a fad, but there is a widespread willingness to pay up for a growth story. Classic fundamental analysis takes a back seat. Even negative earnings are ignored. In fact, positive earnings seem to be a limiting measure, producing the question, "Is that all you've got?" The preference is a vision of untold riches when the exciting story plays out as expected.

Библиотека хакера | Hacking Infosec ИБ информационная безопасность from pl


Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA