gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-27 13:13:06 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/README.md', 'src/pe

Browse Source
This commit is contained in:
Translator
2025-01-02 00:06:10 +00:00
parent 92eaf7ce11
commit 210c27fffb
217 changed files with 1796 additions and 1807 deletions
Download Patch File Download Diff File Expand all files Collapse all files

10
src/pentesting-cloud/kubernetes-security/kubernetes-validatingwebhookconfiguration.md
View File

@@ -1,6 +1,6 @@
# Kubernetes ValidatingWebhookConfiguration
**Автором цієї сторінки є** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)
**Оригінальний автор цієї сторінки** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)
## Визначення
@@ -40,7 +40,7 @@ resources:
<figure><img src="../../images/Kyverno.png" alt=""><figcaption><p>Kyverno.png</p></figcaption></figure>
- **ValidatingWebhookConfiguration (VWC)** : Ресурс Kubernetes, який визначає валідаційний вебхук, що є компонентом на стороні сервера, який перевіряє вхідні запити API Kubernetes на відповідність набору попередньо визначених правил і обмежень.
- **Kyverno ClusterPolicy**: Визначення політики, яке специфікує набір правил і обмежень для валідації та забезпечення ресурсів Kubernetes, таких як поди, деплойменти та сервіси
- **Kyverno ClusterPolicy**: Визначення політики, яке вказує набір правил і обмежень для валідації та забезпечення ресурсів Kubernetes, таких як поди, деплойменти та сервіси
## Enumeration
```
@@ -54,7 +54,7 @@ $ kubectl get ValidatingWebhookConfiguration
Виключення стосуються конкретних правил або умов, які дозволяють обійти або змінити політику за певних обставин, але це не єдиний спосіб!
Для **kyverno**, оскільки є дійсна політика, вебхук `kyverno-resource-validating-webhook-cfg` заповнюється.
Для **kyverno**, оскільки є політика валідації, вебхук `kyverno-resource-validating-webhook-cfg` заповнюється.
Для Gatekeeper є YAML файл `gatekeeper-validating-webhook-configuration`.
@@ -64,7 +64,7 @@ $ kubectl get ValidatingWebhookConfiguration
```bash
$ kubectl get validatingwebhookconfiguration kyverno-resource-validating-webhook-cfg -o yaml
```
Тепер визначте наступний вихід:
Зараз визначте наступний вихід:
```yaml
namespaceSelector:
matchExpressions:
@@ -81,7 +81,7 @@ values:
Перевірте наявність просторів імен. Іноді, через автоматизацію або неправильну конфігурацію, деякі простори імен могли не бути створені. Якщо у вас є дозвіл на створення простору імен, ви можете створити простір імен з назвою в списку `values`, і політики не будуть застосовуватися до вашого нового простору імен.
Мета цієї атаки полягає в тому, щоб експлуатувати **неправильну конфігурацію** всередині VWC, щоб обійти обмеження операторів, а потім підвищити свої привілеї за допомогою інших технік.
Мета цієї атаки полягає в експлуатації **неправильної конфігурації** всередині VWC, щоб обійти обмеження операторів, а потім підвищити свої привілеї за допомогою інших технік.
{{#ref}}
abusing-roles-clusterroles-in-kubernetes/