XMGoat:一款针对Azure的环境安全检测工具

关于XMGoat

XMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。每个模板都是一个用于安全技术学习的靶机环境,包含了一些严重的配置错误。

在该工具的帮助下,广大研究人员可以更好地理解和学习针对Azure安全的相关知识和技术。

工具要求

1、Azure 租户;

2、Terafform 版本 1.0.9 或更高版本;

3、Azure CLI;

4、具有订阅所有者权限和 AAD 中全局管理员权限的 Azure 用户;

操作指引

以下是针对每种环境需要执行的操作:

1、运行安装程序然后开始。

2、使用初始用户和服务主体凭据,根据场景流程对目标环境执行安全测试(例如,XMGoat/scenarios/scenario_1/scenario1_flow.png)。

3、如果您需要安全测试帮助,请参考解决方案(例如,XMGoat/scenarios/scenario_1/solution.md)。

4、当你完成安全学习或测试后,别忘了清理一下环境。

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
$ az login

$ git clone https://github.com/XMCyber/XMGoat.git

然后切换到项目目录中,选择需要执行安全审计的对应环境场景模板即可:

复制代码
$ cd XMGoat

$ cd scenarios

$ cd scenario_<\SCENARIO>

其中 <\SCENARIO> 是您要完成的场景编号, <\FILENAME> 是输出文件的名称:

复制代码
$ terraform init

$ terraform plan -out <\FILENAME>

$ terraform apply <\FILENAME>

工具使用

要获取初始用户和服务主体凭据,请运行以下查询:

复制代码
$ terraform output --json

对于服务主体,使用 application_id.value 和 application_secret.value。

对于用户,使用username.value和password.value。

环境清理

完成对应场景的安全测试之后,运行以下命令以清理租户中创建的所有资源

复制代码
$ az login

$ cd XMGoat

$ cd scenarios

$ cd scenario_<\SCENARIO>

其中 <\SCENARIO> 是您要完成的场景编号。

复制代码
$ terraform destroy

场景测试流程

场景1

场景2

场景3

场景4

场景5

项目地址

XMGoat :【GitHub传送门

相关推荐
北京搜维尔科技有限公司3 分钟前
搜维尔科技:【应用】Xsens在荷兰车辆管理局人体工程学评估中的应用
人工智能·安全
云起无垠21 分钟前
技术分享 | 大语言模型赋能软件测试:开启智能软件安全新时代
人工智能·安全·语言模型
ac-er88881 小时前
PHP弱类型安全问题
开发语言·安全·php
One_Blanks1 小时前
渗透测试-Linux基础(1)
linux·运维·安全
易云码1 小时前
信息安全建设方案,网络安全等保测评方案,等保技术解决方案,等保总体实施方案(Word原件)
数据库·物联网·安全·web安全·低代码
Qspace丨轻空间2 小时前
气膜场馆:推动体育文化旅游创新发展的关键力量—轻空间
大数据·人工智能·安全·生活·娱乐
Suckerbin4 小时前
Hms?: 1渗透测试
学习·安全·网络安全
Diamond技术流4 小时前
从0开始学习Linux——网络配置
linux·运维·网络·学习·安全·centos
Spring_java_gg4 小时前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
newxtc5 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件