keit-devsecops/azure-attack-path-visualizer

GitHub: keit-devsecops/azure-attack-path-visualizer

PathFinder 是一款纯客户端的 Azure 身份攻击路径可视化模拟工具,利用真实图寻路算法计算并演示权限组合如何形成从受损身份到敏感数据的可达路径。

Stars: 0 | Forks: 0

# PathFinder — Azure 身份攻击路径可视化工具 **由系统 IT 架构师主管 Tory Keit 设计与开发** 这是一款交互式工具,用于计算并可视化那些普通的、单独看似无害的权限是如何**串联起来**,形成一条攻击者可以从受损身份一路触达敏感数据的攻击路径的。 **在线演示:** https://ashy-wave-052dac30f.7.azurestaticapps.net ## 问题所在 超过 80% 的云入侵可追溯至凭证被盗和配置错误——而非零日漏洞攻击。破坏很少源于单一的错误权限。它源于*组合*:一个权限过高的身份、一种信任关系,以及一个可达的资源,这些因素共同形成了一条通向实质影响的路径,且全程无需利用任何漏洞。 大多数安全工具仅仅停留在列出安全发现的层面——“这里有 500 个问题”。防御者真正需要的是理解**可达性**:哪种权限组合会创造一条通往关键资产的可行路径。这正是整个行业的发展方向(攻击路径/可达性分析),也是 PathFinder 所展示的核心价值。 ## 功能介绍 - 将建模的 Azure 身份环境渲染为清晰、带标签的图表(身份 → 角色 / 权限 → 资源)。 - 允许你选择一个**受损的入口点**和一个**敏感目标**,然后使用真正的图寻路算法计算它们之间的攻击路径。 - 逐跳动画演示违规路径,并用通俗易懂的语言解释每一步。 - 允许你**编辑权限**——添加或移除某项权限,观察安全目标如何变得可被触达,或者攻击路径如何被切断。这是将核心经验转化为互动体验的关键。 - 提供通俗易懂的结论(“受损的 Dev User 可以在 5 个步骤内触达客户数据——完全不需要利用任何漏洞”)。 ## 技术实现(真实情况) - **图模型与寻路算法:** 在有向权限图上执行带有环检测的、真正的深度优先搜索,并与渲染层完全解耦。这是真正的图论算法,而非脚本动画。 - **精准的 RBAC 建模:** 权限链反映了真实 Azure 提权的工作原理(例如,Contributor 角色可以自行分配 Key Vault 访问权限,机密信息可解锁存储)。 - **路径评分:** 根据路径长度和目标敏感度对路径进行排名,以优先展示最危险的路径。 ## 诚实声明(模拟范围) 本工具是一个**模拟程序**。它运行在一个包含示例身份和资源的建模示例环境中——它**未**连接到任何真实的 Azure 租户,也**不使用任何实时数据**。但真正货真价实的是它的引擎:此处展示的寻路逻辑正是生产环境中攻击路径分析的工作原理;在生产环境中,它将持续针对来自 Azure Resource Graph 和 Microsoft Entra ID 的实时身份数据运行分析。 ## 架构 - **纯客户端** —— HTML、CSS 和原生 JavaScript。所有计算和渲染均在浏览器中运行。 - **零后端** —— 作为 Azure Static Web App 托管在**免费层**。繁重的处理工作(图遍历)发生在客户端,因此基础架构的运行成本为零。 - **响应式** —— 兼容桌面端和移动端布局,因为大部分流量来自移动端。 ## 系列作品轨迹的一部分 PathFinder 是云身份暴露与安全架构系列作品中的第三个项目: 1. **ShieldInbound** —— 应用层安全(对抗性 prompt 防护引擎) 2. **Secure Azure Landing Zone** —— 安全的基础设施即代码(Terraform) 3. **PathFinder** —— 身份攻击路径 / 可达性分析 *模拟环境。真实的寻路引擎。运行于 Azure 免费层基础设施之上。*
标签:Azure, 后端开发, 图算法, 多模态安全, 威胁建模, 攻击路径可视化, 数据可视化, 权限分析, 黑客工具