创建渗透测试相关资源

通过提供相关资源来配置渗透测试,使开发人员或安全工程师能够成功进行渗透测试并评估运行时安全状态和漏洞。

image-20260122195814347

我们将使用OWASP Juice Shop 应用程序的克隆版本。Juice Shop是一个流行的用于安全培训和教育的示例Web应用程序。

使用这个cloudformation yaml来创建所需要的资源:

https://pingfan.s3.amazonaws.com/files/juiceshop-ecs.yaml

创建完成后,此应用程序位于私有VPC中,并在该VPC内有一个私有DNS。

目标应用程序通过名为juiceshop-ecs的AWS CloudFormation堆栈预先创建。导航到CloudFormation,以获取相关输出参数:

image-20260122200116443

接着上一步的创建penetration test:

  • 选择域名juiceshop.dev(账户内的私有域名)作为目标。
  • 提供VPC(VPCId值)。
  • 安全组(PrivateAccessSecurityGroup值)
  • 私有子网(从PrivateSubnets值中的2个私有子网中选择任意1个)

image-20260122200347773

还有更多可选配置,这里先忽略。

最后,记得创建默认角色,AWS Security Agent将在渗透测试期间使用该角色,以与创建的资源进行交互。

image-20260122200440408

完成后,点击Save

验证目标域名

使用AWS Security Agent运行渗透测试时,确保您拥有被测试的域名非常重要。

在为渗透测试配置资源时,有一个强制性步骤是通过添加TXT记录进行DNS验证,或通过暴露路由进行HTTP验证。

image-20260122201335677

由于这是VPC内的私有Route53 DNS,我们可以直接在控制台中创建DNS记录。

创建DNS验证记录后,看到状态为Unreachable是正常的。这是因为我们尚未连接到VPC。一旦AWS Security Agent开始渗透测试,它将连接到VPC并再次检查DNS验证。

启动AWS Security Agent Web应用程序

现在打开AWS Security Agent Web app。

如果我们有权访问AWS Security Agent控制台,可以直接点击管理员访问按钮。

image-20260122201542989

或者,如果开发人员/安全工程师无权访问AWS控制台,那么IT管理员将必须将AWS Identity Center用户添加到AWS Security Agent Web应用程序中。

然后他们需要使用Agent web app URL并使用他们的AWS Identity Center凭据登录:

登录后的页面如下: