XMGoat:一款针对Azure的环境安全检测工具
关于XMGoatXMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。每个模板都是一个用于安全技术学习的靶机环境,包含了一些严峻的配置错误。
https://i-blog.csdnimg.cn/blog_migrate/d347758b4c275519e6a5936f15082fe6.jpeg
在该工具的帮助下,广大研究职员可以更好地明白和学习针对Azure安全的相关知识和技术。
工具要求
1、Azure 租户;
2、Terafform 版本 1.0.9 或更高版本;
3、Azure CLI;
4、具有订阅全部者权限和 AAD 中全局管理员权限的 Azure 用户;
操纵指引
以下是针对每种环境需要执行的操纵:
1、运行安装程序然后开始。
2、利用初始用户和服务主体凭据,根据场景流程对目的环境执行安全测试(比方,XMGoat/scenarios/scenario_1/scenario1_flow.png)。
3、如果您需要安全测试帮助,请参考办理方案(比方,XMGoat/scenarios/scenario_1/solution.md)。
4、当你完成安全学习或测试后,别忘了整理一下环境。
工具安装
广大研究职员可以直接利用下列下令将该项目源码克隆至本地:
$ az login
$ git clone https://github.com/XMCyber/XMGoat.git 然后切换到项目目次中,选择需要执行安全审计的对应环境场景模板即可:
$ cd XMGoat
$ cd scenarios
$ cd scenario_<\SCENARIO> 其中 <\SCENARIO> 是您要完成的场景编号, <\FILENAME> 是输出文件的名称:
$ terraform init
$ terraform plan -out <\FILENAME>
$ terraform apply <\FILENAME> 工具利用
要获取初始用户和服务主体凭据,请运行以下查询:
$ terraform output --json 对于服务主体,利用 application_id.value 和 application_secret.value。
对于用户,利用username.value和password.value。
环境整理
完成对应场景的安全测试之后,运行以下下令以整理租户中创建的全部资源
$ az login$ cd XMGoat
$ cd scenarios
$ cd scenario_<\SCENARIO> 其中 <\SCENARIO> 是您要完成的场景编号。
$ terraform destroy 场景测试流程
场景1
https://i-blog.csdnimg.cn/blog_migrate/1d7161ed9b050ca6d9c8aabc05d57605.jpeg
场景2
https://i-blog.csdnimg.cn/blog_migrate/a45e81d0b36fb6d486a75a18e4e20936.jpeg
场景3
https://i-blog.csdnimg.cn/blog_migrate/104bf8f0d7402db84822a1a3cc5a586c.jpeg
场景4
https://i-blog.csdnimg.cn/blog_migrate/98e48f5a255c3f2effb613add0299e09.jpeg
场景5
https://i-blog.csdnimg.cn/blog_migrate/a7371c6a0521eb9987202366867e753b.jpeg
项目地址
XMGoat:【GitHub传送门】
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]