INE的安全专家8月10日在Black Hat USA上展示了渗透测试工具AWSGoat和AzureGoat，获得了双倍收益。亚马逊网络服务(AWS)和微软Azure是云基础设施领域的两大巨头，还有谷歌云平台(GCP)。由于云仍然是一个相对较新的现象，许多开发人员并没有完全意识到威胁形势，并且可能无意中部署了易受攻击的云基础设施。有时，攻击者只需要一个简单的错误配置或Web应用程序漏洞就可以完全破坏组织的环境。

AWSGoat和AzureGoat本周在拉斯维加斯举行的Black Hat Arsenal会议上展示，旨在为安全爱好者和渗透测试人员提供易于部署的易受攻击的基础设施。

在这里，他们可以学习如何枚举云应用程序、识别漏洞并连锁各种攻击以破坏AWS或Azure帐户。

易受攻击的基础设施展示了OWASP十大Web应用程序安全威胁的危险。

AWSGoat还具有基于IAM、S3、API Gateway、Lambda、EC2和ECS等服务的错误配置。

虽然AWSGoat的开发人员表示AWS有“大量工具和易受攻击的应用程序”可用，但Azure并非如此。

“AzureGoat是我们缩小差距的尝试，”来自IT和安全培训公司INE的团队表示。“社区可用的选择要少得多。”

用户将能够使用预先创建的Docker映像和脚本在其Azure帐户上部署AzureGoat。部署完成后，AzureGoat可用于打靶练习，方便日后删除。

AWSGoat和AzureGoat的所有代码和部署脚本都已开源。