Pentesting Cloud Methodology

Jede Cloud hat ihre eigenen Besonderheiten, aber im Allgemeinen gibt es einige gemeinsame Dinge, die ein Pentester überprüfen sollte, wenn er eine Cloud-Umgebung testet:

  • Benchmark-Checks

    • Dies hilft Ihnen, die Größe der Umgebung und die verwendeten Dienste zu verstehen

    • Es ermöglicht Ihnen auch, einige schnelle Fehlkonfigurationen zu finden, da die meisten dieser Tests mit automatisierten Tools durchgeführt werden können

  • Dienste Enumeration

    • Hier werden Sie wahrscheinlich nicht viele weitere Fehlkonfigurationen finden, wenn Sie die Benchmark-Tests korrekt durchgeführt haben, aber Sie könnten einige finden, die in den Benchmark-Tests nicht gesucht wurden.

    • Dies ermöglicht es Ihnen zu wissen, was genau in der Cloud-Umgebung verwendet wird

    • Dies wird in den nächsten Schritten sehr hilfreich sein

  • Überprüfung exponierter Assets

    • Dies kann im vorherigen Abschnitt durchgeführt werden. Sie müssen herausfinden, was potenziell dem Internet ausgesetzt ist und wie darauf zugegriffen werden kann.

    • Hierbei handelt es sich um manuell exponierte Infrastruktur wie Instanzen mit Webseiten oder anderen freigegebenen Ports sowie um andere cloudverwaltete Dienste, die so konfiguriert werden können, dass sie freigegeben sind (wie z. B. DBs oder Buckets)

    • Dann sollten Sie überprüfen, ob diese Ressource freigegeben werden kann oder nicht (vertrauliche Informationen? Schwachstellen? Fehlkonfigurationen im freigegebenen Dienst?)

  • Berechtigungen überprüfen

    • Hier sollten Sie alle Berechtigungen jedes Rollen/Benutzers in der Cloud herausfinden und wie sie verwendet werden

    • Zu viele stark privilegierte (kontrollieren alles) Konten? Generierte Schlüssel nicht verwendet?... Die meisten dieser Überprüfungen sollten bereits in den Benchmark-Tests durchgeführt worden sein

    • Wenn der Kunde OpenID oder SAML oder andere Föderationen verwendet, müssen Sie möglicherweise weitere Informationen darüber anfordern, wie jede Rolle zugewiesen wird (es ist nicht dasselbe, ob die Admin-Rolle einem Benutzer oder 100 Benutzern zugewiesen ist)

    • Es reicht nicht aus zu finden, welche Benutzer Admin-Berechtigungen haben "*:*". Es gibt viele andere Berechtigungen, die je nach den verwendeten Diensten sehr sensibel sein können.

    • Darüber hinaus gibt es potenzielle Privesc-Wege, die missbräuchlich genutzt werden können. All diese Dinge sollten berücksichtigt werden, und es sollten so viele Privesc-Pfade wie möglich gemeldet werden.

  • Integrationen überprüfen

    • Es ist sehr wahrscheinlich, dass Integrationen mit anderen Clouds oder SaaS in der Cloud-Umgebung verwendet werden.

    • Für Integrationen der Cloud, die Sie überprüfen, mit anderen Plattformen sollten Sie benachrichtigen, wer Zugriff hat, um diese Integration zu (miss)brauchen, und Sie sollten fragen, wie sensibel die durchgeführte Aktion ist. Zum Beispiel, wer kann in einem AWS-Bucket schreiben, von dem GCP Daten bezieht (fragen Sie, wie sensibel die Aktion in GCP ist, wenn diese Daten behandelt werden).

    • Für Integrationen innerhalb der Cloud, die Sie überprüfen, von externen Plattformen aus sollten Sie fragen, wer externen Zugriff hat, um diese Integration zu (miss)brauchen, und überprüfen, wie diese Daten verwendet werden. Zum Beispiel, wenn ein Dienst ein in GCR gehostetes Docker-Image verwendet, sollten Sie herausfinden, wer Zugriff hat, um dies zu ändern, und welche sensiblen Informationen und Zugriffsberechtigungen dieses Image erhält, wenn es in einer AWS-Cloud ausgeführt wird.


Es gibt mehrere Tools, die verwendet werden können, um verschiedene Cloud-Umgebungen zu testen. Die Installationsanleitungen und Links werden in diesem Abschnitt angegeben.

Ein Tool zur Identifizierung von schlechten Konfigurationen und Privesc-Pfaden in Clouds und über Clouds/SaaS hinweg.

# You need to install and run neo4j also
git clone
cd PurplePanda
python3 -m venv .
source bin/activate
python3 -m pip install -r requirements.txt
export PURPLEPANDA_NEO4J_URL="bolt://neo4j@localhost:7687"
export PURPLEPANDA_PWD="neo4j_pwd_4_purplepanda"
python3 -h # Get help


Um alle Projekte zu überprüfen, müssen Sie die Datei gcp.spc generieren, in der alle zu testenden Projekte angegeben sind. Sie können einfach den Anweisungen aus dem folgenden Skript folgen.

rm -rf "$FILEPATH" 2>/dev/null

# Generate a json like object for each project
for pid in $(gcloud projects list --format="value(projectId)"); do
echo "connection \"gcp_$(echo -n $pid | tr "-" "_" )\" {
plugin  = \"gcp\"
project = \"$pid\"
}" >> "$FILEPATH"

# Generate the aggragator to call
echo 'connection "gcp_all" {
plugin      = "gcp"
type        = "aggregator"
connections = ["gcp_*"]
}' >> "$FILEPATH"

echo "Copy $FILEPATH in ~/.steampipe/config/gcp.spc if it was correctly generated"

Um andere GCP-Einblicke zu überprüfen (nützlich zur Aufzählung von Diensten) verwenden Sie:

Um Terraform GCP-Code zu überprüfen:

Weitere GCP-Plugins von Steampipe:

# Install aws plugin
steampipe plugin install aws

# Modify the spec indicating in "profile" the profile name to use
nano ~/.steampipe/config/aws.spc

# Get some info on how the AWS account is being used
git clone
cd steampipe-mod-aws-insights
steampipe dashboard

# Get the services exposed to the internet
git clone
cd steampipe-mod-aws-perimeter
steampipe dashboard

# Run the benchmarks
git clone
cd steampipe-mod-aws-compliance
steampipe dashboard # To see results in browser
steampipe check all --export=/tmp/output4.json

Um den Terraform AWS-Code zu überprüfen:

Weitere AWS-Plugins von Steampipe:

AWS, GCP, Azure, DigitalOcean. Es erfordert Python 2.7 und scheint nicht gewartet zu werden.


Nessus verfügt über einen Audit Cloud Infrastructure-Scan, der AWS, Azure, Office 365, Rackspace, Salesforce unterstützt. Einige zusätzliche Konfigurationen in Azure sind erforderlich, um eine Client-ID zu erhalten.

Cloudlist ist ein Multi-Cloud-Tool zum Abrufen von Assets (Hostnamen, IP-Adressen) von Cloud-Anbietern.

cd /tmp
chmod +x cloudlist
sudo mv cloudlist /usr/local/bin

Kartographie ist ein Python-Tool, das Infrastrukturressourcen und deren Beziehungen in einer intuitiven Grafikansicht zusammenfasst, die von einer Neo4j-Datenbank unterstützt wird.

# Installation
docker image pull
docker run --platform linux/amd64 cartography --help
## Install a Neo4j DB version 3.5.*


## Config for GCP
### Check out:
### It requires service account credentials

name: graph-google-cloud
instanceId: testInstanceId
directory: ./.integrations/graph-google-cloud

engine: neo4j
username: neo4j
password: s3cr3t
uri: bolt://localhost:7687
#Consider using host.docker.internal if from docker

Entdecken Sie die privilegiertesten Benutzer in der gescannten AWS- oder Azure-Umgebung, einschließlich der AWS Shadow Admins. Es verwendet PowerShell.

Import-Module .\SkyArk.ps1 -force

# in the Cloud Console
IEX (New-Object Net.WebClient).DownloadString('')

Ein Tool, um die Infrastruktur, Dateien und Apps eines Unternehmens (Ziel) auf den führenden Cloud-Anbietern (Amazon, Google, Microsoft, DigitalOcean, Alibaba, Vultr, Linode) zu finden.

  • CloudFox ist ein Tool, um ausnutzbare Angriffspfade in der Cloud-Infrastruktur zu finden (derzeit nur AWS & Azure unterstützt, mit GCP in Kürze).

  • Es handelt sich um ein Aufzählungstool, das dazu gedacht ist, manuelles Pentesting zu ergänzen.

  • Es erstellt oder ändert keine Daten innerhalb der Cloud-Umgebung.

Weitere Listen von Cloud-Sicherheitstools



GCP Pentesting


GWS - Workspace Pentesting


AWS Pentesting


Azure Pentesting


Stormspotter erstellt einen "Angriffsgraphen" der Ressourcen in einem Azure-Abonnement. Es ermöglicht Red Teams und Pentestern, die Angriffsfläche und Pivot-Möglichkeiten innerhalb eines Mandanten zu visualisieren, und unterstützt Ihre Verteidiger dabei, sich schnell zu orientieren und die Incident-Response-Arbeit zu priorisieren.


Sie benötigen Global Admin oder zumindest Global Admin Reader (aber beachten Sie, dass Global Admin Reader etwas eingeschränkt ist). Diese Einschränkungen treten jedoch in einigen PS-Modulen auf und können umgangen werden, indem Sie auf die Funktionen über die Webanwendung zugreifen.

