我希望在云提供商上设置一个 Kali Linux 机器,以便执行当天的渗透测试。
我遇到的问题是为此寻找云提供商,例如 AWS、Azure 等。
对于 AWS,他们需要为每个渗透测试填写一个应用程序,这可能需要 2 天的时间才能得到答复(可能会问更多问题),据我所知,Azure 和 Google Cloud 仅提供有关传入渗透的指导测试而不是他们提供的盒子是流量的来源。
在寻找这个问题的答案时,我同样似乎只为传入而不是传出流量提供答案。
对于渗透测试人员来说,是否有任何好的云提供商不需要每次测试都需要冗长的批准?等待几天的一次性申请会很好,但必须申请每次测试会妨碍执行当天测试。
Azure 安全项目经理给我发了一篇文章,说 Azure 可以用于传出渗透测试,但有一些规定,主要集中在确保传出测试不会影响其他 Azure 用户,例如传出 DDoS 会降低网络速度。
https://blogs.msdn.microsoft.com/azuresecurity/2016/08/29/pen-testing-from-azure-virtual-machines/
Azure 可以进行笔测试,只要它们的基础设施未被非法用于访问或破坏 Azure(或没有)上您无法证明您有权修改或访问的其他系统。期望提供您希望进行的测试类型的详细说明,包括您希望执行它们的时间。
不久前,我阅读了一篇关于在Digital Ocean上使用 Meterpreter侦听器设置 VPS的博客,我认为他们对此非常开放(规则 2,特别是 3 和 12)。唯一的问题是他们不支持 Kali 盒子......但正如AlwaysLearner 所说,你可以使用 Ubuntu(甚至 Debian)进行相同的渗透测试。
如果你用谷歌搜索“远程服务器租赁”,你会发现许多网站的限制较少。离岸服务器托管通常对设备的使用有非常宽松的规则。您只需搜索定价和不同的规则/SLA 协议。
我想这在技术上不符合“云”的条件,因为它是在共享基础设施上虚拟化的 VPC……但它确实回答了“我如何在共享服务上远程渗透测试”的问题?