Pentesting Cloud

pentesting aws

Los servicios en la nube se han vuelto extremadamente comunes y las organizaciones los están aprovechando con mayor frecuencia. Por esta razón las pruebas de servicio en la nube son parte fundamental de las pruebas de penetración.

Las pruebas de penetración en la nube  son únicas, y brindan su propio conjunto de consideraciones de seguridad. Si bien algunas vulnerabilidades se mitigan a través de las medidas de seguridad de Amazon, Google, Azure entre otras,  la complejidad de estos servicios deja a muchas empresas expuestas. Una de las características más sólidas de los servicios en la nube, es la inmensa flexibilidad que se brinda a los usuarios para configurar el entorno. Si bien la flexibilidad es excelente, también es una preocupación de seguridad importante.

Es trascendental realizar la arquitectura de nube y las API adjuntas:

Explotación de la aplicación EC2.

Manipular claves AMS de AWS

Probar fallas en la configuración y el permiso S3

Establecimiento de acceso a la nube privada a través de funciones Lambda

Cubrir logs y/o manipular logs en sistemas Cloud.

Pruebas de penetración de infraestructura en la nube: Se centran en la escalada de privilegios dentro del entorno de la nube.

Pruebas de penetración de aplicaciones en la nube: Se centran en la identificación de vulnerabilidades y fallas de control de acceso.

Interfaz de programación de aplicaciones (API) (por ejemplo, HTTP / HTTPS)

Aplicaciones web y móviles alojadas por su organización.

El servidor de aplicaciones y el lenguaje asociado (por ejemplo, lenguajes de programación como Python, React)

Máquinas virtuales y sistemas operativos.

Prueba de control de acceso virtual: Utiliza una variedad de técnicas para manipular los controles de acceso a la red virtual.

Prueba de penetración del hipervisor: Explota las vulnerabilidades de escape de la máquina virtual para atravesar la capa del hipervisor y obtener control sobre todo el entorno virtual.

Ataques de administración de virtualización: Manipular y comprometer los sistemas de administración.

22 Años Perfeccionando El Arte Del Hacking Ético