cloud-penetration-testing

Umiejętność do kompleksowych audytów bezpieczeństwa infrastruktury chmurowej. Przeprowadzasz rozpoznanie, testowanie uwierzytelniania, enumerację zasobów, eskalację uprawnień i ekstrakcję sekretów w Azure, AWS i GCP. Otrzymujesz raport z oceną ryzyka, spis zasobów, znalezione poświadczenia oraz rekomendacje hartowania dla każdej platformy. Wymaga pisemnej autoryzacji i dostępu do testowanych środowisk.

1. Zainstaluj wymagane narzędzia dla Azure (moduły Az, MSOnline, AzureAD), AWS (AWS CLI) i GCP (gcloud SDK). Dodatkowo zainstaluj biblioteki Python: scoutsuite i pacu za pomocą pip.

2. Przygotuj dostęp: uzyskaj pisemną autoryzację do testowania, przygotuj poświadczenia lub tokeny dostępu do testowanych kont, oraz zdefiniuj zakres i reguły zaangażowania.

3. Zapoznaj się z fundamentami architektury chmury, zarządzaniem tożsamością i dostępem (IAM), mechanizmami uwierzytelniania API oraz koncepcjami DevOps.

4. Uruchom fazę rozpoznania, aby zebrać informacje o konfiguracji, użytkownikach i zasobach w wybranej platformie chmurowej.

5. Przeprowadź enumerację zasobów i testowanie uwierzytelniania, aby zidentyfikować potencjalne luki w konfiguracji i dostępie.

6. Przeanalizuj wyniki, przygotuj raport z oceną ryzyka, spis znalezionych zasobów, ujawnione sekrety oraz rekomendacje zabezpieczeń dla każdej platformy.