ชวนทดสอบเจาะระบบคลาวด์ด้วยตัวคุณเองผ่านแพลตฟอร์ม CloudFoxable

หากคุณเป็นคนหนึ่งที่ต้องการเรียนรู้ด้านความมั่นคงปลอดภัยของคลาวด์ ขอแนะนำให้รู้จักกับ cloudfoxable แพลตฟอร์มการเรียนรู้การเจาะระบบในรูปแบบ Capture the flag (CTF)

cloudfoxable เป็นแพลตฟอร์มที่จะช่วยให้คุณสามารถสวมบทเป็นผู้ทดสอบเจาะระบบคลาวด์ได้ โดยผู้ใช้งานต้องมีบัญชีของ AWS เพื่อการ deploy ใช้งาน ปัจจุบันกิจกรรมในแพลตฟอร์มมีถึง 19 ด่าน ที่พร้อมรับตั้งแต่ผู้เริ่มต้นไปจนถึงผู้เชี่ยวชาญที่มองหาแหล่งทดสอบที่เริ่มต้นได้ด้วยตัวเอง โดยขั้นแรกผู้สร้างได้ออกแบบให้เรียนรู้เกี่ยวกับ Secrets Manager ซึ่งแม้ดูเหมือนเรื่องพื้นฐานแต่ส่งผลกระทบมาในโลกความเป็นจริง หลายครั้งที่พบว่ามีนักพัฒนาสามารถเข้าถึง secret ทั้งหมดใน Secrets Manager ได้ หรืออาจมีการเก็บ secret ของระบบที่ใช้จริง นั่นกลายเป็นว่านักพัฒนาระบบที่ยังไม่ใช้จริง กลับสามารถเข้าถึงข้อมูลที่ใช้งานจริงได้

แน่นอนว่าในอนาคตทีมผู้สร้าง cloudfoxable ยังมีแผนที่จะอัปเกรตให้เพิ่มความท้าทายมากขึ้น โดยขยายเส้นทางการโจมตีให้ครอบคลุมหลายบัญชีได้ ซึ่งจะได้เรียนรู้เกี่ยวกับข้อผิดพลาดในการตั้งค่าต่างๆ (misconfiguration) สำหรับผู้สนใจศึกษารายละเอียดได้ที่ https://github.com/BishopFox/cloudfoxable

ที่มา : https://www.helpnetsecurity.com/2024/01/22/cloudfoxable-aws-penetration-testing-playground/