最新的OWASP 10大web应用程序安全漏洞(2021)以及基于IAM、S3、API Gateway、Lambda、EC2和ECS等服务的其他错误配置,使得AWSGoat成为AWS上的一个故意设计为易受攻击的基础设施。它使用黑箱策略、多个升级通道,并复制具有附加故障的真实基础设施。
AWSGoat项目由INE团队创建,该团队在OWASP新加坡分会和最近的黑帽2022会议上介绍了该项目。该组织还考虑到了Microsoft Azure,创建了AzureGoat。两个项目中都存在以下配置错误和漏洞:XSS、SQL注入、不安全的直接对象引用、应用功能环境下的服务器端请求伪造、敏感数据暴露和密码重置、存储帐户配置错误、身份配置错误。
AWSGoat的使用需要AWS账户(同理AzureGoat需要Azure账户)和具有管理权限的AWS访问密钥。用户可以分叉AWSGoat repo,将其AWS账户凭据添加到GitHub Secrets,并执行Terraform应用操作以使用它。整个基础设施将通过此方法部署,托管应用程序的URL也将生成。另一种方法是手动操作。
项目部署后,用户可以使用一个模块,该模块包括一个无服务器博客应用程序,该应用程序使用AWS Lambda、S3、API网关和DynamoDB。该模块包含大量web应用程序错误,并允许使用配置不正确的AWS资源。此外,YouTube上还可以访问播放列表。AzureGoat中还包括一个使用Azure应用程序功能、存储账户、CosmosDB和Azure自动化的无服务器博客应用程序。今后将在这两个项目中添加更多模块。
在一篇INE博客文章中,INE的首席架构师(实验室平台)和贡献者之一Jeswin Mathai表示:尽管还处于起步阶段,该团队对AWSGoat有着雄心勃勃的计划。下一个(第二个)模块已经在开发中,将利用AWS ECS基础设施提供内部人力资源工资应用程序。未来的新增内容包括防御/缓解方面,包括安全工程、安全编码和监控以及检测攻击。
此外,他说,在未来几年,这将是一个巨大的项目,而且它是开源的,任何人都可以做出贡献。
| 留言与评论(共有 0 条评论) “” |
