A l’occasion de la conférence BlackHat qui s’est tenue à Las Vegas début août, une équipe d’INE, éditeur d’une plateforme d’e-learning sur différents sujets IT, a présenté une solution de pen testing pour les services AWS. Baptisée AWSGoat, le projet open source vérifie la fiabilité de différents scénarios basés sur les offres du fournisseur de cloud comme IAM, S3, API Gateway, Lambda, EC2 et ECS.
Pour mener à bien son expertise, AWSGoat se base sur le top 10 de l’OWASP recensant les vulnérabilités dans les applications web. Il intègre aussi des erreurs de configuration sur les services d’AWS. Dans son portefeuille, il dispose d’un ensemble de vecteur d’attaques : XSS, injection SQL, référence directe à un objet non sécurisée, falsification de requête côté serveur sur l'environnement App Function, exposition de données sensibles et réinitialisation du mot de passe, mauvaise configuration des comptes de stockage et de l'identité. Une liste des possibilités et des tutoriels sont disponibles sur YouTube.
Différents modules de mises en situation
Avant d’être dédié aux environnements AWS, le programme a déjà été décliné pour Azure de Microsoft. Il comprend les mêmes fonctions et les mêmes vecteurs d’attaques. Par exemple, AzureGoat intègre un module présentant une application de blog en mode serverless via Azure App Functions, Storage Accounts, CosmosDB et Azure Automation pour réaliser le pen test.
Ce module dans AWSGoat propose la même application de blog mais en se basant sur Lambda, S3, API Gateway, and DynamoDB. La communauté planche sur un second module comprenant le déploiement d’une application dédiée aux ressources humaines en se servant de l’infrastructure ECS. Pour en savoir plus, le projet open source est disponible sur GitHub.