Testando Acesso a Recursos AWS Sem Irritar Quem Paga as Contas

Este post detalha uma metodologia para verificar empiricamente a exposição de recursos AWS sem ler dados sensíveis ou alterar o estado do recurso. A abordagem emprega quatro técnicas principais: comparação de requisições não assinadas e assinadas, leituras apenas de metadados, operações no-op (como a remoção de tags inexistentes) e envio de probes de requisição malformadas que exploram a sequência da AWS, onde as verificações de autorização ocorrem antes da validação de parâmetros. O 'método de 3 tópicos' garante a segurança da probe, testando mudanças idênticas em recursos permitidos, negados e inexistentes — se apenas os alvos negados e inexistentes retornam erros 403 e os permitidos retornam 400, a autorização é confirmada sem executar a ação. Este método é implementado na ferramenta open-source sns-buster para SNS e é adaptável a outros serviços AWS para CSPM, bug bounty e validação de políticas IAM. ️