ชวนทดสอบเจาะระบบคลาวด์ด้วยตัวคุณเองผ่านแพลตฟอร์ม CloudFoxable

หากคุณเป็นคนหนึ่งที่ต้องการเรียนรู้ด้านความมั่นคงปลอดภัยของคลาวด์ ขอแนะนำให้รู้จักกับ cloudfoxable แพลตฟอร์มการเรียนรู้การเจาะระบบในรูปแบบ Capture the flag (CTF)

cloudfoxable เป็นแพลตฟอร์มที่จะช่วยให้คุณสามารถสวมบทเป็นผู้ทดสอบเจาะระบบคลาวด์ได้ โดยผู้ใช้งานต้องมีบัญชีของ AWS เพื่อการ deploy ใช้งาน ปัจจุบันกิจกรรมในแพลตฟอร์มมีถึง 19 ด่าน ที่พร้อมรับตั้งแต่ผู้เริ่มต้นไปจนถึงผู้เชี่ยวชาญที่มองหาแหล่งทดสอบที่เริ่มต้นได้ด้วยตัวเอง โดยขั้นแรกผู้สร้างได้ออกแบบให้เรียนรู้เกี่ยวกับ Secrets Manager ซึ่งแม้ดูเหมือนเรื่องพื้นฐานแต่ส่งผลกระทบมาในโลกความเป็นจริง หลายครั้งที่พบว่ามีนักพัฒนาสามารถเข้าถึง secret ทั้งหมดใน Secrets Manager ได้ หรืออาจมีการเก็บ secret ของระบบที่ใช้จริง นั่นกลายเป็นว่านักพัฒนาระบบที่ยังไม่ใช้จริง กลับสามารถเข้าถึงข้อมูลที่ใช้งานจริงได้

แน่นอนว่าในอนาคตทีมผู้สร้าง cloudfoxable ยังมีแผนที่จะอัปเกรตให้เพิ่มความท้าทายมากขึ้น โดยขยายเส้นทางการโจมตีให้ครอบคลุมหลายบัญชีได้ ซึ่งจะได้เรียนรู้เกี่ยวกับข้อผิดพลาดในการตั้งค่าต่างๆ (misconfiguration) สำหรับผู้สนใจศึกษารายละเอียดได้ที่ https://github.com/BishopFox/cloudfoxable

ที่มา : https://www.helpnetsecurity.com/2024/01/22/cloudfoxable-aws-penetration-testing-playground/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google ทลายเครือข่ายพร็อกซี NetNut ที่กระจายบนอุปกรณ์กว่า 2 ล้านเครื่อง

Google ได้เข้าสกัดกั้นเครือข่าย NetNut ซึ่งเป็นหนึ่งในเครือข่ายพร็อกซีที่อยู่อาศัย (residential proxy network) ที่ใหญ่ที่สุดที่ยังเปิดให้บริการอยู่ ส่งผลให้บริการที่เคยเปลี่ยนอุปกรณ์ตามบ้านเรือนกว่า 2 ล้านเครื่องทั่วโลกให้กลายเป็นจุดส่งต่อทราฟฟิกอินเทอร์เน็ตของผู้อื่นต้องหยุดชะงักลง

แคสเปอร์สกี้และสกมช. จับมือต่ออายุ MoU เสริมแกร่งความมั่นคงทางไซเบอร์ของไทย [PR]

แคสเปอร์สกี้ (Kaspersky) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ต่ออายุและขยายบันทึกความเข้าใจ (Memorandum of Understanding) เพื่อกระชับความร่วมมือเชิงกลยุทธ์ในการเสริมสร้างความเข้มแข็งด้านความมั่นคงทางไซเบอร์ของประเทศไทย ข้อตกลงนี้สร้างขึ้นบนพื้นฐานของภัยคุกคามที่ซับซ้อนและมีเป้าหมายการโจมตีมากขึ้นในประเทศไทย และมุ่งสร้างกรอบการทำงานที่ครอบคลุมสำหรับการแบ่งปันข้อมูลภัยคุกคาม การสร้างขีดความสามารถด้านเทคโนโลยีในประเทศ และการสนับสนุนการฝึกอบรมด้านความมั่นคงทางไซเบอร์ภายใต้แนวคิด Kaspersky Global …