Fähigkeiten cloud-penetration-testing

☁️

cloud-penetration-testing

Name: cloud-penetration-testing
Author: sickn33

Niedriges Risiko ⚙️ Externe Befehle🌐 Netzwerkzugriff📁 Dateisystemzugriff

Durchführung einer Cloud-Sicherheitsbewertung

Sicherheitsprofis benötigen umfassende Cloud-Penetrationstest-Fähigkeiten in Azure-, AWS- und GCP-Umgebungen. Diese Fähigkeit bietet strukturierte Workflows für Reconnaissance, Enumeration, Exploitation und Persistenz-Tests mit klaren Autorisierungsanforderungen.

Unterstützt: Claude Codex Code(CC)

⚠️ 60 Schlecht

Die Skill-ZIP herunterladen

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

Einschalten und loslegen

Teste es

Verwendung von "cloud-penetration-testing". Enumerate AWS S3 buckets and check for public access

Erwartetes Ergebnis:

Gibt Liste der S3-Buckets mit Zugriffskontrollen zurück, identifiziert öffentlich zugängliche Buckets, bietet Korrekturempfehlungen für Fehlkonfigurationen

Verwendung von "cloud-penetration-testing". Check Azure AD for users with password in attributes

Erwartetes Ergebnis:

Gibt Azure AD-Benutzer mit sensiblen Daten in Attributen zurück, zeigt welche Eigenschaften potenzielle Geheimnisse enthalten

Verwendung von "cloud-penetration-testing". Access GCP metadata service for credential discovery

Erwartetes Ergebnis:

Gibt GCP-Dienstkonto-Tokens und Metadaten von kompromittierter Compute-Instance zurück

Sicherheitsaudit

Niedriges Risiko

v1 • 2/25/2026

This skill contains cloud penetration testing commands and scripts commonly used in authorized security assessments. Static analysis flagged external command execution, network access, and metadata endpoint patterns - all standard elements of legitimate cloud security testing. The skill includes clear authorization requirements and is designed for security professionals. Findings are false positives in this context as they represent standard pen testing techniques for Azure, AWS, and GCP.

Gescannte Dateien

826

Analysierte Zeilen

befunde

Gesamtzahl Audits

Probleme mit hohem Risiko (4)

SKILL.md:20-36 SKILL.md:80-98 SKILL.md:143-174 SKILL.md:253-269 SKILL.md:275-286 SKILL.md:337-395 SKILL.md:443-475 references/advanced-cloud-scripts.md:9-130 references/advanced-cloud-scripts.md:148-190

External Command Execution

Skill contains numerous external command invocations using shell backticks and system() calls. These execute AWS CLI, Azure CLI, and GCP commands for security testing purposes. This is standard penetration testing practice but could be misused.

SKILL.md:263-268 SKILL.md:339-342 SKILL.md:383 SKILL.md:401-402 references/advanced-cloud-scripts.md:120-124

Cloud Metadata Service Access

Skill contains commands to access AWS, Azure, and GCP metadata endpoints (169.254.169.254). This is standard cloud security assessment technique for checking instance credentials and configuration.

SKILL.md:440-451 SKILL.md:181 references/advanced-cloud-scripts.md:242-272

Password Spraying Scripts

Skill contains password spraying tools and scripts for testing credential strength. This is a legitimate security testing technique but could be weaponized for brute force attacks.

SKILL.md:169-174 SKILL.md:259-261 SKILL.md:353-356 SKILL.md:295 SKILL.md:477

Credential Access Techniques

Skill demonstrates techniques for accessing credentials from cloud services including Key Vault secrets, Lambda environment variables, and user data. This is standard cloud security assessment.

Probleme mit mittlerem Risiko (2)

SKILL.md:44-74 SKILL.md:100-143 SKILL.md:215-247 SKILL.md:427

Network Reconnaissance

Skill includes network enumeration commands for cloud resources. This is standard reconnaissance for security assessments.

SKILL.md:353-356 SKILL.md:67 SKILL.md:464

Filesystem Access

Skill contains filesystem access commands for credential discovery. This is standard post-exploitation technique in authorized assessments.

Probleme mit niedrigem Risiko (1)

SKILL.md:176-197 SKILL.md:271-286

Persistence Techniques

Skill documents persistence techniques like creating service principals and backdoor accounts. These are standard post-exploitation techniques documented for authorized assessments.

Risikofaktoren

⚙️ Externe Befehle (114)

🌐 Netzwerkzugriff (50)

📁 Dateisystemzugriff (5)

SKILL.md:354 SKILL.md:67 SKILL.md:354 SKILL.md:354 SKILL.md:464

Erkannte Muster

Code Execution + Network + Credentials

Auditiert von: claude

Qualitätsbewertung

Architektur

100

Wartbarkeit

Inhalt

Community

Sicherheit

Spezifikationskonformität

Was du bauen kannst

Sicherheitsberater führt AWS-Bewertung durch

Führen Sie eine umfassende AWS-Sicherheitsbewertung durch, einschließlich S3-Bucket-Enumeration, IAM-Rollenanalyse und EC2-Instance-Tests

Blue-Team-Mitglied testet Verteidigungen

Validieren Sie die Cloud-Sicherheitskontrollen der Organisation durch Simulation von Angriffstechniken

DevSecOps-Ingenieur härtet Cloud-Infrastruktur

Identifizieren und beheben Sie Cloud-Fehlkonfigurationen, bevor Angreifer diese ausnutzen können

Probiere diese Prompts

Basis-AWS-Enumeration

Use the cloud-penetration-testing skill to enumerate AWS resources. List all S3 buckets, EC2 instances, and IAM users accessible with current credentials. Run: aws sts get-caller-identity first to check authentication.

Azure AD-Benutzererkennung

Use the cloud-penetration-testing skill to enumerate Azure AD users and groups. List all users, groups, and role assignments. Check for users with password in attributes.

GCP-Projektbewertung

Use the cloud-penetration-testing skill to assess GCP security. List enabled services, compute instances, storage buckets, and IAM policies. Check for overly permissive service accounts.

Umfassendes Cloud-Audit

Use the cloud-penetration-testing skill to perform a comprehensive multi-cloud security assessment covering AWS, Azure, and GCP. Document all findings with remediation recommendations.

Bewährte Verfahren

Erhalten Sie immer schriftliche Autorisierung, bevor Sie eine Cloud-Umgebung testen
Dokumentieren Sie alle Testaktivitäten und Erkenntnisse für die Einhaltung
Verwenden Sie zuerst schreibgeschützte Enumerationstechniken, bevor Sie Exploitation versuchen
Respektieren Sie Umfanggrenzen und greifen Sie nicht auf Systeme außerhalb der Autorisierung zu

Vermeiden

Durchführung von Penetrationstests ohne ordnungsgemäße Autorisierung
Testen von Produktionssystemen ohne Benachrichtigung des Betriebsteams
Versuch auf Kundendaten in Multi-Tenant-Umgebungen zuzugreifen
Ignorieren von Erkennungs- und Alarmierungsmechanismen während des Tests

Häufig gestellte Fragen

Funktioniert diese Fähigkeit mit Multi-Faktor-Authentifizierung?

MFA kann einige Angriffstechniken einschränken. Die Fähigkeit dokumentiert alternative Authentifizierungsmethoden, diese erfordern jedoch spezifische Bedingungen, um erfolgreich zu sein.

Kann diese Fähigkeit Cloud-Sicherheitskontrollen umgehen?

Nein. Diese Fähigkeit bietet Testtechniken, die innerhalb der Fähigkeiten der bereitgestellten Anmeldedaten funktionieren. Ordnungsgemäß gesicherte Umgebungen blockieren unbefugten Zugriff.

Ist Password-Spraying enthalten?

Die Fähigkeit verweist auf Password-Spraying-Tools für Anmeldedaten-Validierungstests. Dies erfordert ausdrückliche Autorisierung und sollte nur in autorisierten Assessments verwendet werden.

Funktioniert diese Fähigkeit offline?

Nein. Cloud-Penetrationstesting erfordert Netzwerkzugriff auf Cloud-Provider-APIs und Metadaten-Endpunkte.

Kann ich dies für interne Sicherheitstests verwenden?

Ja, mit ordnungsgemäßer schriftlicher Autorisierung vom Umgebungseigentümer. Dokumentieren Sie immer den Umfang und die Regeln des Engagements.

Welche Cloud-Provider werden unterstützt?

Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) werden alle mit spezifischen Techniken für jede abgedeckt.