Compétences cloud-penetration-testing

☁️

cloud-penetration-testing

Name: cloud-penetration-testing
Author: sickn33

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Realizar evaluación de seguridad en la nube

Los profesionales de seguridad necesitan capacidades integrales de pruebas de penetración en la nube en entornos Azure, AWS y GCP. Esta habilidad proporciona flujos de trabajo estructurados para reconocimiento, enumeración, explotación y pruebas de persistencia con requisitos claros de autorización.

Prend en charge: Claude Codex Code(CC)

⚠️ 65 Médiocre

Télécharger le ZIP du skill

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

Activez et commencez à utiliser

Tester

Utilisation de "cloud-penetration-testing". Enumerar buckets S3 de AWS y verificar acceso público

Résultat attendu:

Devuelve lista de buckets S3 con controles de acceso, identifica buckets accesibles públicamente, proporciona recomendaciones de remediación para configuraciones erróneas

Utilisation de "cloud-penetration-testing". Verificar Azure AD para usuarios con contraseña en atributos

Résultat attendu:

Devuelve usuarios de Azure AD con datos sensibles en atributos, muestra qué propiedades contienen secretos potenciales

Utilisation de "cloud-penetration-testing". Acceder al servicio de metadatos de GCP para descubrimiento de credenciales

Résultat attendu:

Devuelve tokens de cuentas de servicio de GCP y metadatos desde instancia de cómputo comprometida

Audit de sécurité

Risque faible

v1 • 2/25/2026

This skill contains cloud penetration testing commands and scripts commonly used in authorized security assessments. Static analysis flagged external command execution, network access, and metadata endpoint patterns - all standard elements of legitimate cloud security testing. The skill includes clear authorization requirements and is designed for security professionals. Findings are false positives in this context as they represent standard pen testing techniques for Azure, AWS, and GCP.

Fichiers analysés

826

Lignes analysées

résultats

Total des audits

Problèmes à risque élevé (4)

SKILL.md:20-36 SKILL.md:80-98 SKILL.md:143-174 SKILL.md:253-269 SKILL.md:275-286 SKILL.md:337-395 SKILL.md:443-475 references/advanced-cloud-scripts.md:9-130 references/advanced-cloud-scripts.md:148-190

External Command Execution

Skill contains numerous external command invocations using shell backticks and system() calls. These execute AWS CLI, Azure CLI, and GCP commands for security testing purposes. This is standard penetration testing practice but could be misused.

SKILL.md:263-268 SKILL.md:339-342 SKILL.md:383 SKILL.md:401-402 references/advanced-cloud-scripts.md:120-124

Cloud Metadata Service Access

Skill contains commands to access AWS, Azure, and GCP metadata endpoints (169.254.169.254). This is standard cloud security assessment technique for checking instance credentials and configuration.

SKILL.md:440-451 SKILL.md:181 references/advanced-cloud-scripts.md:242-272

Password Spraying Scripts

Skill contains password spraying tools and scripts for testing credential strength. This is a legitimate security testing technique but could be weaponized for brute force attacks.

SKILL.md:169-174 SKILL.md:259-261 SKILL.md:353-356 SKILL.md:295 SKILL.md:477

Credential Access Techniques

Skill demonstrates techniques for accessing credentials from cloud services including Key Vault secrets, Lambda environment variables, and user data. This is standard cloud security assessment.

Problèmes à risque moyen (2)

SKILL.md:44-74 SKILL.md:100-143 SKILL.md:215-247 SKILL.md:427

Network Reconnaissance

Skill includes network enumeration commands for cloud resources. This is standard reconnaissance for security assessments.

SKILL.md:353-356 SKILL.md:67 SKILL.md:464

Filesystem Access

Skill contains filesystem access commands for credential discovery. This is standard post-exploitation technique in authorized assessments.

Problèmes à risque faible (1)

SKILL.md:176-197 SKILL.md:271-286

Persistence Techniques

Skill documents persistence techniques like creating service principals and backdoor accounts. These are standard post-exploitation techniques documented for authorized assessments.

Facteurs de risque

⚙️ Commandes externes (114)

🌐 Accès réseau (50)

📁 Accès au système de fichiers (5)

SKILL.md:354 SKILL.md:67 SKILL.md:354 SKILL.md:354 SKILL.md:464

Motifs détectés

Code Execution + Network + Credentials

Audité par: claude

Score de qualité

Architecture

100

Maintenabilité

Contenu

Communauté

Sécurité

Conformité aux spécifications

Ce que vous pouvez construire

Consultor de Seguridad Realizando Evaluación AWS

Realizar evaluación de seguridad integral de AWS incluyendo enumeración de buckets S3, análisis de roles IAM y pruebas de instancias EC2

Miembro del Blue Team Probando Defensas

Validar los controles de seguridad en la nube de la organización simulando técnicas de atacantes

Ingeniero DevSecOps Asegurando Infraestructura en la Nube

Identificar y remediar configuraciones erróneas en la nube antes de que los atacantes puedan explotarlas

Essayez ces prompts

Enumeración Básica de AWS

Use la habilidad cloud-penetration-testing para enumerar recursos AWS. Liste todos los buckets S3, instancias EC2 y usuarios IAM accesibles con las credenciales actuales. Ejecute: aws sts get-caller-identity primero para verificar la autenticación.

Descubrimiento de Usuarios de Azure AD

Use la habilidad cloud-penetration-testing para enumerar usuarios y grupos de Azure AD. Liste todos los usuarios, grupos y asignaciones de roles. Verifique usuarios con contraseña en los atributos.

Evaluación de Proyecto GCP

Use la habilidad cloud-penetration-testing para evaluar la seguridad de GCP. Liste servicios habilitados, instancias de cómputo, buckets de almacenamiento y políticas IAM. Verifique cuentas de servicio excesivamente permisivas.

Auditoría Integral en la Nube

Use la habilidad cloud-penetration-testing para realizar una evaluación de seguridad integral multi-nube cubriendo AWS, Azure y GCP. Documente todos los hallazgos con recomendaciones de remediación.

Bonnes pratiques

Siempre obtenga autorización por escrito antes de probar cualquier entorno en la nube
Documente todas las actividades y hallazgos de prueba para cumplimiento
Use técnicas de enumeración de solo lectura primero antes de intentar explotación
Respete los límites del alcance y no acceda a sistemas fuera de la autorización

Éviter

Ejecutar pruebas de penetración sin la autorización adecuada
Probar sistemas de producción sin notificar al equipo de operaciones
Intentar acceder a datos de clientes en entornos multi-inquilino
Ignorar mecanismos de detección y alerta durante las pruebas

Foire aux questions

¿Esta habilidad funciona con autenticación multifactor?

MFA puede limitar algunas técnicas de ataque. La habilidad documenta métodos alternativos de autenticación pero estos requieren condiciones específicas para tener éxito.

¿Puede esta habilidad bypassar controles de seguridad en la nube?

No. Esta habilidad proporciona técnicas de prueba que funcionan dentro de las capacidades de las credenciales proporcionadas. Los entornos correctamente asegurados bloquearán el acceso no autorizado.

¿Está incluido el password spraying?

La habilidad hace referencia a herramientas de password spraying para pruebas de validación de credenciales. Esto requiere autorización explícita y solo debe usarse en evaluaciones autorizadas.

¿Esta habilidad funciona offline?

No. Las pruebas de penetración en la nube requieren acceso de red a las APIs del proveedor en la nube y endpoints de metadatos.

¿Puedo usar esto para pruebas de seguridad internas?

Sí, con la autorización por escrito adecuada del propietario del entorno. Siempre documente el alcance y las reglas de compromiso.

¿Qué proveedores en la nube son soportados?

Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP) están todos cubiertos con técnicas específicas para cada uno.