精彩的免费云原生安全学习实验室,包括CTF、自托管工作坊、指导性漏洞实验室和研究实验室。
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/iknowjason/Awesome-CloudSec-Labs
一个免费的云原生安全学习实验室列表。包括CTF、自托管的研讨会、引导式漏洞实验室以及研究实验室。
按技术和类别排序
| 名称 | 技术 | 类别 | 作者 | 备注 |
|---|---|---|---|---|
| AWS | 自托管,作者托管的CTF实验室 | 17个免费实验室,需要注册,某些实验室需要自带AWS账号并使用CloudFormation创建 | ||
| AWS | 自托管,引导式实验室 | AWS CIRT | 使用CloudFormation构建,探索AWS CIRT观察到的5种常见的应急响应场景 | |
| AWS | 自托管,引导式漏洞实验室 | 多个, | Python编排的Terraform | |
| AWS | 自托管,引导式漏洞研讨会 | 在自己的AWS账号中攻击和防御一个由作者提供的Terraform构建的Lambda | ||
| AWS | 自托管,引导式漏洞实验室 | 以IAM为中心的权限升级场所,有31条路径,使用Terraform在自己的AWS账号中创建,有详细的文档 | ||
| AWS | 作者托管,CTF挑战 | 含等级和线索的挑战式风格 | ||
| AWS | 作者托管,CTF挑战 | 挑战式的攻击者和防御者路径 | ||
| AWS | 自托管CTF演练 | 在自己的AWS账号 | ||
| AWS | 自托管、攻防手册 | 多位作者,ine-labs | 使用Terraform构建,两个模块,提供攻击和防御手册 | |
| AWS | 自托管 | 多位作者, | Terraform代码;与CloudGoat不同,不提供指导 | |
| Azure | 作者托管的CTF挑战 | 提供提示,可选择自托管在自己的Azure账号中使用Terraform | ||
| Azure | 自托管、指导漏洞工作坊 | 指导漏洞工作坊,需要PurpleCloud和Terraform;用户名和密码为sec588 |
||
| Azure | 自托管、指导命令 | 多位作者 | 设计上易受攻击的Azure实验室,包含两个场景;使用Terraform构建 | |
| Azure | 自托管、攻防手册 | 多位作者,ine-labs | 使用自己的Azure租户,使用Terraform构建,提供攻击和防御手册 | |
| Azure | 自托管、指导实验室 | 多位作者 | 使用Terraform构建,5个场景,提供解决方案文档 | |
| GCP | 自托管、mdbook实验室指南 | 在自己的GCP账号中托管,使用提供的脚本构建,有详细的指导实验室手册 | ||
| GCP | 自托管、攻防手册 | 多位作者,ine-labs | 使用自己的GCP账号,使用Terraform构建,提供攻击和防御手 | |
| Kubernetes | 自托管、导入虚拟机 | 易受攻击的Kubernetes集群,下载虚拟机构建集群并导入到VMWare中,运行 | ||
| Kubernetes | 自托管、多云、K3S | 在自己的云账号中(GKE、EKS、AKS)或K3S中创建和托管,并进行攻击,提供指导手册 | ||
| Kubernetes | 自托管在GKE中 | 多位作者 | 创建GCP账号,提供有指导的手册,包含两个攻击和防御场景以及额外挑战 | |
| 容器 | 自托管、指导工作坊 | 一个有指导的漏洞工作坊,在自己的AWS账号中托管,提供CloudFormation | ||
| 容器 | 作者托管的挑战 | 一个容器逃逸挑战,逃出容器并发送电子邮件给作者 | ||
| Terraform | 自托管的多云(AWS、Azure、GCP) | 多位作者, | 一个设计上易受攻击的Terraform存储库 | |
| Azure | 研究实验室 | 使用Python和Terraform构建自己的Azure安全实验室 | ||
| Azure | 研究实验室 | 使用Azure RM模板,创建自己的Azure安全实验室 |
AWS
Pentesting.Cloud:17个免费实验室。需要网站注册。
AWS CIRT Workshop:在您自己的AWS账户中构建,并探索AWS CIRT团队观察到的5种常见事件响应场景。
CloudGoat:通过设计漏洞的方式进行AWS安全实验室,并提供指导。
Attacking and Defending Serverless Applications:在您自己的AWS账户中构建并攻击、防御一个Lambda函数,作者提供Terraform和脚本支持。具有工作坊风格的教育性内容。
IAM Vulnerable:使用Terraform创建一个易受攻击的AWS IAM权限提升游乐场,包含31个权限提升攻击路径。文档非常完善。
flaws.cloud:挑战式的实验室,带有级别和线索。
flaws2.cloud:挑战式的实验室,包括攻击者和防御者路径。
CI/CDon't:一个易受攻击的CI/CD CTF挑战,在您的AWS账户中使用Terraform托管,包含详细的步骤演示。
AWSGoat:一个高度易受攻击的AWS基础架构,附带两本攻击和防御手册。
Sadcloud:创建易受攻击的AWS服务,没有漏洞指南显示漏洞。
Azure
Broken Azure:一个易受攻击的Azure基础架构,供您进行攻击。
PurpleCloud Azure AD Workshop:模拟企业Azure客户的指导性漏洞工作坊。需要PurpleCloud和Terraform;用户名和密码为sec588。
Mandiant Azure Workshop:一个易受攻击的Azure实验室,包含两个场景,您需要在自己的Azure租户中构建。
AzureGoat:使用Terraform构建一个模块,并按照提供的攻击和防御手册进行操作。
XMGoat:在您的Azure租户中构建5个场景,并按照提供的解决方案文档进行操作。
GCP
GCP Goat (Josh Jebaraj):在您自己的GCP账号中托管,并使用提供的脚本构建。有一个很好的指导实验室手册。
GCPGoat (ine-labs):使用自己的GCP账号,使用Terraform构建一个模块。提供攻击和防御手册。
Kubernetes
Bustakube:下载一个易受攻击的Kubernetes集群作为虚拟机,您可以导入并在本地的VMWare中运行。
Kubernetes Goat:在自己的云账号(GKE、EKS、AKS)或K3S中创建和托管,并进行攻击。包含一个指导手册。
Kubecon NA 2019 CTF:在您的GCP账号中创建一个令人惊叹的CTF挑战。有一个带有两个攻击和防御场景以及额外挑战的指导手册。
容器
Container Security 101:一个指导性的漏洞工作坊,托管在您的AWS账号中。作者在网页上提供了一个很好的实验室,您可以使用CloudFormation构建一个虚拟机,然后创建一个容器。
Contained.af:一个容器逃逸挑战,逃出容器并发送电子邮件给作者。
Terraform
TerraGoat:一个设计上易受攻击的Terraform存储库。
研究实验室
PurpleCloud:使用Python和Terraform构建自己的Azure安全实验室。
SimuLand:使用Azure RM模板,创建自己的Azure安全实验室。