облачный пентест
-
Статья Мисконфигурация облака как вектор атаки: S3-бакеты, снапшоты и storage AWS/Azure/GCP
На пентесте финтех-компании я нашёл S3-бакет с продакшн-бэкапами БД за три минуты - aws s3 ls s3://company-prod-backups --no-sign-request. Внутри лежали SQL-дампы с PII на сотни тысяч клиентов, ключи API к платёжному шлюзу и .env-файл с credentials от RDS-инстанса. Бакет висел больше года. CSPM...- Сергей Попов
- Тема
- azure blob storage уязвимости cloud storage misconfiguration cspm инструменты защиты мисконфигурация облака атаки облачный пентест открытые s3-бакеты безопасность публичные снапшоты aws уязвимости утечка данных через s3
- Ответы: 0
- Раздел: Облачная безопасность и DevSecOps
-
Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
В облачном пентесте первый скан часто даёт странную картину: наружу торчит мало, веб закрыт CDN и WAF, SSH нет, привычная карта сети почти пустая. При этом внутри аккаунта может лежать куда более опасная цепочка: роль приложения читает секреты production, CI/CD-пайплайн умеет передавать...- Luxkerr
- Тема
- cloud pentesting cloud reconnaissance cloud security cross-account access iam exploitation imds lateral movement ssrf облачный пентест
- Ответы: 0
- Раздел: Этичный хакинг и тестирование на проникновение