ZAP & OWASP ZAP: Análisis de vulnerabilidades

zap

Análisis de vulnerabilidades de AWS Lambda con herramientas de código abierto

ZAP & OWASP ZAP

AWS Lambda es un servicio informático que le permite ejecutar código sin aprovisionar ni administrar servidores. Puede utilizar las funciones de Lambda para ampliar la funcionalidad de su aplicación o para crear servicios pequeños y discretos.

Las funciones de Lambda están escritas en JavaScript, Python o Java, y pueden activarse por eventos como la adición de un objeto a un depósito en Amazon S3, la publicación de un mensaje en Amazon Kinesis o la realización de una solicitud a un punto de enlace de API Gateway.

Lambda es una excelente manera de ejecutar código sin tener que preocuparse por administrar servidores y también es una excelente manera de ampliar la funcionalidad de sus aplicaciones.

Sin embargo, antes de comenzar a utilizar las funciones de Lambda, es importante analizarlas en busca de vulnerabilidades.

Puede obtener un libro de jugadas sobre cómo responder a incidentes en AWS aquí.


Guardia lambda

ZAP

LambdaGuard es una herramienta de auditoría de seguridad para las funciones de AWS Lambda. Mapea orígenes de eventos que desencadenan la ejecución de funciones, asigna recursos utilizados por la función y verifica las políticas de funciones y las políticas de roles de ejecución.

También comprueba la política y la configuración de la fuente de eventos, la política y la configuración de recursos y, opcionalmente, ejecuta un análisis de código estático en el código fuente de la función. LambdaGuard proporciona informes JSON y HTML.

Proxy Lambda

Lambda-Proxy le permite probar sus funciones de AWS Lambda mediante la creación de un proxy HTTP que escucha en el puerto localhost 8082.

Cuando recibe una solicitud HTTP POST con una estructura específica, extraerá los datos relevantes necesarios para la prueba e invocará su AWS Función Lambda con el método client.invoke() de AWS SDK.

Otras opciones

Las vulnerabilidades en las funciones de Lambda pueden permitir que los atacantes tomen el control de sus aplicaciones o accedan a sus datos.

Afortunadamente, hay una serie de herramientas que puede usar para escanear sus funciones de Lambda en busca de vulnerabilidades.

OWASP ZAP es un escáner de seguridad de aplicaciones web gratuito y de código abierto que se puede utilizar para escanear las funciones de Lambda en busca de vulnerabilidades.

ZAP es fácil de usar y sirve para escanear tanto el código fuente como el entorno de tiempo de ejecución de sus funciones de Lambda.

ZAP puede identificar varios tipos diferentes de vulnerabilidades, incluidas las secuencias de comandos entre sitios (XSS), la inyección de SQL y la falsificación de solicitudes entre sitios (CSRF).

Si está utilizando un escáner de seguridad comercial, como Fortify, Veracode o Checkmarx, también puede usarlo para escanear sus funciones Lambda en busca de vulnerabilidades.

La mayoría de los escáneres de seguridad comerciales pueden escanear el código en busca de vulnerabilidades y algunos también pueden escanear el entorno de tiempo de ejecución de las funciones de Lambda.

Si no está utilizando un escáner de seguridad comercial, puede usar el escáner de seguridad integrado en AWS para escanear sus funciones de Lambda en busca de vulnerabilidades.

El escáner de seguridad de AWS puede identificar varios tipos diferentes de vulnerabilidades, incluidas las secuencias de comandos entre sitios (XSS), la inyección SQL y la falsificación de solicitudes entre sitios (CSRF).

Una vez que haya escaneado sus funciones de Lambda en busca de vulnerabilidades, puede tomar medidas para corregir las vulnerabilidades que se encuentren.

Si utiliza OWASP ZAP, puede usar el complemento ZAP para Eclipse para corregir vulnerabilidades.

Si está utilizando un escáner de seguridad comercial, puede usar el escáner de seguridad para corregir vulnerabilidades.

¿No está utilizando un escáner de seguridad comercial? Puede usar el escáner de seguridad de AWS para corregir vulnerabilidades.

Una vez que sus funciones de Lambda se analizan y corrigen en busca de vulnerabilidades, puede estar seguro de que son seguras y de que está protegido.

Recent Post