Compétences cloud-penetration-testing

☁️

cloud-penetration-testing

Name: cloud-penetration-testing
Author: sickn33

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Realizar Avaliação de Segurança em Nuvem

Profissionais de segurança precisam de capacidades abrangentes de teste de penetração em nuvem em ambientes Azure, AWS e GCP. Esta habilidade fornece fluxos de trabalho estruturados para reconhecimento, enumeração, exploração e testes de persistência com requisitos claros de autorização.

Prend en charge: Claude Codex Code(CC)

⚠️ 65 Médiocre

Télécharger le ZIP du skill

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

Activez et commencez à utiliser

Tester

Utilisation de "cloud-penetration-testing". Enumerar buckets AWS S3 e verificar acesso público

Résultat attendu:

Retorna lista de buckets S3 com controles de acesso, identifica buckets publicamente acessíveis, fornece recomendações de correção para configurações incorretas

Utilisation de "cloud-penetration-testing". Verificar Azure AD para usuários com senha nos atributos

Résultat attendu:

Retorna usuários do Azure AD com dados sensíveis nos atributos, mostra quais propriedades contêm potenciais segredos

Utilisation de "cloud-penetration-testing". Acessar serviço de metadados GCP para descoberta de credenciais

Résultat attendu:

Retorna tokens de conta de serviço GCP e metadados de instância de computação comprometida

Audit de sécurité

Risque faible

v1 • 2/25/2026

This skill contains cloud penetration testing commands and scripts commonly used in authorized security assessments. Static analysis flagged external command execution, network access, and metadata endpoint patterns - all standard elements of legitimate cloud security testing. The skill includes clear authorization requirements and is designed for security professionals. Findings are false positives in this context as they represent standard pen testing techniques for Azure, AWS, and GCP.

Fichiers analysés

826

Lignes analysées

résultats

Total des audits

Problèmes à risque élevé (4)

SKILL.md:20-36 SKILL.md:80-98 SKILL.md:143-174 SKILL.md:253-269 SKILL.md:275-286 SKILL.md:337-395 SKILL.md:443-475 references/advanced-cloud-scripts.md:9-130 references/advanced-cloud-scripts.md:148-190

External Command Execution

Skill contains numerous external command invocations using shell backticks and system() calls. These execute AWS CLI, Azure CLI, and GCP commands for security testing purposes. This is standard penetration testing practice but could be misused.

SKILL.md:263-268 SKILL.md:339-342 SKILL.md:383 SKILL.md:401-402 references/advanced-cloud-scripts.md:120-124

Cloud Metadata Service Access

Skill contains commands to access AWS, Azure, and GCP metadata endpoints (169.254.169.254). This is standard cloud security assessment technique for checking instance credentials and configuration.

SKILL.md:440-451 SKILL.md:181 references/advanced-cloud-scripts.md:242-272

Password Spraying Scripts

Skill contains password spraying tools and scripts for testing credential strength. This is a legitimate security testing technique but could be weaponized for brute force attacks.

SKILL.md:169-174 SKILL.md:259-261 SKILL.md:353-356 SKILL.md:295 SKILL.md:477

Credential Access Techniques

Skill demonstrates techniques for accessing credentials from cloud services including Key Vault secrets, Lambda environment variables, and user data. This is standard cloud security assessment.

Problèmes à risque moyen (2)

SKILL.md:44-74 SKILL.md:100-143 SKILL.md:215-247 SKILL.md:427

Network Reconnaissance

Skill includes network enumeration commands for cloud resources. This is standard reconnaissance for security assessments.

SKILL.md:353-356 SKILL.md:67 SKILL.md:464

Filesystem Access

Skill contains filesystem access commands for credential discovery. This is standard post-exploitation technique in authorized assessments.

Problèmes à risque faible (1)

SKILL.md:176-197 SKILL.md:271-286

Persistence Techniques

Skill documents persistence techniques like creating service principals and backdoor accounts. These are standard post-exploitation techniques documented for authorized assessments.

Facteurs de risque

⚙️ Commandes externes (114)

🌐 Accès réseau (50)

📁 Accès au système de fichiers (5)

SKILL.md:354 SKILL.md:67 SKILL.md:354 SKILL.md:354 SKILL.md:464

Motifs détectés

Code Execution + Network + Credentials

Audité par: claude

Score de qualité

Architecture

100

Maintenabilité

Contenu

Communauté

Sécurité

Conformité aux spécifications

Ce que vous pouvez construire

Consultor de Segurança Realizando Avaliação AWS

Realizar avaliação de segurança abrangente da AWS incluindo enumeração de buckets S3, análise de funções IAM e testes de instâncias EC2

Membro da Blue Team Testando Defesas

Validar controles de segurança em nuvem da organização simulando técnicas de atacantes

Engenheiro DevSecOps Fortalecendo Infraestrutura em Nuvem

Identificar e corrigir configurações incorretas em nuvem antes que atacantes possam explorá-las

Essayez ces prompts

Enumeração Básica AWS

Use a habilidade cloud-penetration-testing para enumerar recursos AWS. Liste todos os buckets S3, instâncias EC2 e usuários IAM acessíveis com as credenciais atuais. Execute: aws sts get-caller-identity primeiro para verificar a autenticação.

Descoberta de Usuários Azure AD

Use a habilidade cloud-penetration-testing para enumerar usuários e grupos do Azure AD. Liste todos os usuários, grupos e atribuições de função. Verifique usuários com senha nos atributos.

Avaliação de Projeto GCP

Use a habilidade cloud-penetration-testing para avaliar segurança GCP. Liste serviços ativados, instâncias de computação, buckets de armazenamento e políticas IAM. Verifique contas de serviço excessivamente permissivas.

Auditoria Abrangente de Nuvem

Use a habilidade cloud-penetration-testing para realizar uma avaliação de segurança multi-nuvem abrangente cobrindo AWS, Azure e GCP. Documente todas as descobertas com recomendações de correção.

Bonnes pratiques

Sempre obtenha autorização por escrito antes de testar qualquer ambiente de nuvem
Documente todas as atividades e descobertas de teste para conformidade
Use técnicas de enumeração somente leitura primeiro antes de tentar exploração
Respeite os limites de escopo e não acesse sistemas fora da autorização

Éviter

Executar testes de penetração sem autorização adequada
Testar sistemas de produção sem notificação à equipe de operações
Tentar acessar dados de clientes em ambientes multi-inquilino
Ignorar mecanismos de detecção e alerta durante os testes

Foire aux questions

Esta habilidade funciona com autenticação de múltiplos fatores?

O MFA pode limitar algumas técnicas de ataque. A habilidade documenta métodos alternativos de autenticação, mas estes requerem condições específicas para ter sucesso.

Esta habilidade pode contornar controles de segurança em nuvem?

Não. Esta habilidade fornece técnicas de teste que funcionam dentro das capacidades das credenciais fornecidas. Ambientes adequadamente protegidos bloquearão acesso não autorizado.

Password spraying está incluído?

A habilidade referencia ferramentas de password spraying para teste de validação de credenciais. Isso requer autorização explícita e deve ser usado apenas em avaliações autorizadas.

Esta habilidade funciona offline?

Não. Testes de penetração em nuvem requerem acesso de rede a APIs de provedores de nuvem e endpoints de metadados.

Posso usar isso para testes de segurança internos?

Sim, com autorização por escrito adequada do proprietário do ambiente. Sempre documente o escopo e as regras de engajamento.

Quais provedores de nuvem são suportados?

Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) são todos cobertos com técnicas específicas para cada um.