performing-aws-account-enumeration-with-scout-suite

使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。

9 stars

Best use case

performing-aws-account-enumeration-with-scout-suite is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。

Teams using performing-aws-account-enumeration-with-scout-suite should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-aws-account-enumeration-with-scout-suite/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-aws-account-enumeration-with-scout-suite/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-aws-account-enumeration-with-scout-suite/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-aws-account-enumeration-with-scout-suite Compares

Feature / Agentperforming-aws-account-enumeration-with-scout-suiteStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 ScoutSuite 执行 AWS 账户枚举

## 概述

ScoutSuite 是由 NCC Group 开发的开源多云安全审计工具,能够对 AWS 环境进行全面的安全态势评估。它通过查询 AWS API 收集所有服务的配置数据,将结果存储在本地,并生成交互式 HTML 报告以突出显示高风险区域。ScoutSuite 是无代理的,通过分析云资源的配置方式、访问方式和监控方式来工作。

## 前置条件

- 已安装 Python 3.6+
- 配置了适当 IAM 凭据的 AWS CLI
- 目标 AWS 服务的只读 IAM 权限(推荐使用 SecurityAudit 托管策略)
- 用于安装 ScoutSuite 的 pip 包管理器
- 能够访问 AWS API 端点的网络连接

## 安装与设置

### 安装 ScoutSuite

```bash
pip install scoutsuite
```

### 验证安装

```bash
scout --version
```

### 配置 AWS 凭据

```bash
aws configure
# 或使用环境变量:
export AWS_ACCESS_KEY_ID=<your-key>
export AWS_SECRET_ACCESS_KEY=<your-secret>
export AWS_DEFAULT_REGION=us-east-1
```

### 所需 IAM 策略

将 AWS 托管策略 `SecurityAudit` 和 `ViewOnlyAccess` 附加到运行 ScoutSuite 的 IAM 用户或角色。如需全面扫描,可能需要自定义策略:

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "acm:Describe*",
        "acm:List*",
        "cloudformation:Describe*",
        "cloudformation:Get*",
        "cloudformation:List*",
        "cloudtrail:Describe*",
        "cloudtrail:Get*",
        "cloudtrail:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "config:Describe*",
        "config:Get*",
        "config:List*",
        "dynamodb:Describe*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticloadbalancing:Describe*",
        "iam:Generate*",
        "iam:Get*",
        "iam:List*",
        "iam:Simulate*",
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "lambda:Get*",
        "lambda:List*",
        "logs:Describe*",
        "logs:Get*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "route53:Get*",
        "route53:List*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        "ssm:Describe*",
        "ssm:Get*",
        "ssm:List*"
      ],
      "Resource": "*"
    }
  ]
}
```

## 运行 ScoutSuite

### 完整 AWS 扫描

```bash
scout aws
```

### 仅扫描特定服务

```bash
scout aws --services s3 iam ec2 rds
```

### 扫描特定区域

```bash
scout aws --regions us-east-1 us-west-2 eu-west-1
```

### 使用假定角色进行跨账户扫描

```bash
scout aws --profile target-account-profile
```

### 排除特定服务

```bash
scout aws --skip iam ec2
```

### 指定输出目录

```bash
scout aws --report-dir /tmp/scoutsuite-reports/
```

## 报告分析

ScoutSuite 生成本地存储的交互式 HTML 报告,包含以下内容:

1. **仪表板**:按严重程度(危险、警告、正常)汇总的发现概览
2. **服务级别发现**:按 AWS 服务分组(IAM、S3、EC2、RDS 等)
3. **基于规则的检查**:每个发现对应一个安全最佳实践规则
4. **资源清单**:已枚举资源的完整列表

### 报告中需要重点审查的关键领域

| 服务 | 关键检查项 |
|---------|----------------|
| IAM | 根账户 MFA、密码策略、未使用的凭据、过度授权的策略 |
| S3 | 公开桶、未加密桶、禁用版本控制、禁用日志记录 |
| EC2 | 允许 0.0.0.0/0 的安全组、未加密 EBS 卷、公网 IP |
| RDS | 公开访问性、未加密数据库、备份保留 |
| CloudTrail | 日志记录禁用、日志文件验证、多区域禁用 |
| Lambda | 公开访问、环境变量中的密钥、VPC 配置 |

## 解读发现结果

### 严重程度级别

- **危险(红色)**:需要立即修复的严重安全问题(如 S3 存储桶允许公开写入访问)
- **警告(橙色)**:应该处理的中等风险发现(如未使用的 IAM 访问密钥)
- **正常(绿色)**:已正确配置的安全最佳实践

### 常见高风险发现

1. **IAM 根账户未启用 MFA**:AWS 根账户未启用多因素认证
2. **S3 存储桶策略允许公开访问**:Principal 设置为 "*" 的桶策略
3. **安全组允许无限制 SSH 访问**:端口 22 允许 0.0.0.0/0 的入站规则
4. **CloudTrail 未在所有区域启用**:审计日志缺口导致 API 活动无法被监控
5. **RDS 实例可公开访问**:数据库端点可从互联网访问

## 修复工作流

1. 运行 ScoutSuite 扫描建立基线
2. 导出发现结果并按严重程度排优先级
3. 为危险和警告级别发现创建修复工单
4. 实施修复(更新安全组、启用加密、限制访问)
5. 重新运行 ScoutSuite 验证修复结果
6. 安排定期扫描(每周或在基础设施变更后)

## 与 CI/CD 集成

```bash
# 在 CI/CD 流水线中运行 ScoutSuite,发现危险级别时失败
scout aws --services s3 iam ec2 --no-browser --report-dir ./scout-report/

# 以编程方式解析结果
python -c "
import json
with open('./scout-report/scoutsuite-results/scoutsuite_results.json') as f:
    results = json.load(f)
    for service in results.get('services', {}):
        findings = results['services'][service].get('findings', {})
        for finding_id, finding in findings.items():
            if finding.get('flagged_items', 0) > 0 and finding.get('level') == 'danger':
                print(f'严重: {finding_id} - {finding.get(\"description\", \"\")}')
"
```

## 多云能力

ScoutSuite 使用相同框架支持多个云提供商:

```bash
# Azure
scout azure --cli

# GCP
scout gcp --user-account

# AWS(使用特定配置文件)
scout aws --profile production
```

## 参考资料

- ScoutSuite GitHub 仓库: https://github.com/nccgroup/ScoutSuite
- AWS 安全审计检查清单
- CIS AWS Foundations Benchmark
- AWS Well-Architected 安全支柱

Related Skills

testing-for-xss-vulnerabilities-with-burpsuite

9
from killvxk/cybersecurity-skills-zh

在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。