Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

2025-12-31 23:15:48 -08:00 · 2024-12-31 19:09:14 +00:00
parent 7770a50092
commit 388bdfdf0a
244 changed files with 7988 additions and 10827 deletions
--- a/src/pentesting-cloud/kubernetes-security/kubernetes-validatingwebhookconfiguration.md
+++ b/src/pentesting-cloud/kubernetes-security/kubernetes-validatingwebhookconfiguration.md
@@ -1,106 +1,94 @@
 # Kubernetes ValidatingWebhookConfiguration

-**The original author of this page is** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)
+**इस पृष्ठ के मूल लेखक हैं** [**Guillaume**](https://www.linkedin.com/in/guillaume-chapela-ab4b9a196)

-## Definition
+## परिभाषा

-ValidatingWebhookConfiguration is a Kubernetes resource that defines a validating webhook, which is a server-side component that validates incoming Kubernetes API requests against a set of predefined rules and constraints.
+ValidatingWebhookConfiguration एक Kubernetes संसाधन है जो एक validating webhook को परिभाषित करता है, जो एक सर्वर-साइड घटक है जो आने वाले Kubernetes API अनुरोधों को पूर्व निर्धारित नियमों और बाधाओं के सेट के खिलाफ मान्य करता है।

-## Purpose
+## उद्देश्य

-The purpose of a ValidatingWebhookConfiguration is to define a validating webhook that will enforce a set of predefined rules and constraints on incoming Kubernetes API requests. The webhook will validate the requests against the rules and constraints defined in the configuration, and will return an error if the request does not conform to the rules.
+ValidatingWebhookConfiguration का उद्देश्य एक validating webhook को परिभाषित करना है जो आने वाले Kubernetes API अनुरोधों पर पूर्व निर्धारित नियमों और बाधाओं के सेट को लागू करेगा। यह webhook अनुरोधों को कॉन्फ़िगरेशन में परिभाषित नियमों और बाधाओं के खिलाफ मान्य करेगा, और यदि अनुरोध नियमों के अनुसार नहीं है तो एक त्रुटि लौटाएगा।

-**Example**
-
-Here is an example of a ValidatingWebhookConfiguration:
+**उदाहरण**

+यहाँ एक ValidatingWebhookConfiguration का उदाहरण है:
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
 metadata:
-  name: example-validation-webhook
-  namespace: default
+name: example-validation-webhook
+namespace: default
 webhook:
-  name: example-validation-webhook
-  clientConfig:
-    url: https://example.com/webhook
-    serviceAccountName: example-service-account
-  rules:
-    - apiGroups:
-        - ""
-      apiVersions:
-        - "*"
-      operations:
-        - CREATE
-        - UPDATE
-      resources:
-        - pods
+name: example-validation-webhook
+clientConfig:
+url: https://example.com/webhook
+serviceAccountName: example-service-account
+rules:
+- apiGroups:
+- ""
+apiVersions:
+- "*"
+operations:
+- CREATE
+- UPDATE
+resources:
+- pods
 ```
-
 The main difference between a ValidatingWebhookConfiguration and policies :&#x20;

 <figure><img src="../../images/Kyverno.png" alt=""><figcaption><p>Kyverno.png</p></figcaption></figure>

- **ValidatingWebhookConfiguration (VWC)** : A Kubernetes resource that defines a validating webhook, which is a server-side component that validates incoming Kubernetes API requests against a set of predefined rules and constraints.
- **Kyverno ClusterPolicy**: A policy definition that specifies a set of rules and constraints for validating and enforcing Kubernetes resources, such as pods, deployments, and services
+- **ValidatingWebhookConfiguration (VWC)** : एक Kubernetes संसाधन जो एक validating webhook को परिभाषित करता है, जो एक सर्वर-साइड घटक है जो आने वाले Kubernetes API अनुरोधों को पूर्वनिर्धारित नियमों और बाधाओं के सेट के खिलाफ मान्य करता है।
+- **Kyverno ClusterPolicy**: एक नीति परिभाषा जो Kubernetes संसाधनों, जैसे pods, deployments, और services को मान्य और लागू करने के लिए नियमों और बाधाओं के सेट को निर्दिष्ट करती है।

 ## Enumeration
-
 ```
 $ kubectl get ValidatingWebhookConfiguration
 ```
+### Kyverno और Gatekeeper VWC का दुरुपयोग

-### Abusing Kyverno and Gatekeeper VWC
+जैसा कि हम देख सकते हैं, सभी स्थापित ऑपरेटरों के पास कम से कम एक ValidatingWebHookConfiguration(VWC) है।

-As we can see all operators installed have at least one ValidatingWebHookConfiguration(VWC).
+**Kyverno** और **Gatekeeper** दोनों Kubernetes नीति इंजन हैं जो एक क्लस्टर में नीतियों को परिभाषित और लागू करने के लिए एक ढांचा प्रदान करते हैं।

-**Kyverno** and **Gatekeeper** are both Kubernetes policy engines that provide a framework for defining and enforcing policies across a cluster.
+अपवाद उन विशिष्ट नियमों या शर्तों को संदर्भित करते हैं जो किसी नीति को कुछ परिस्थितियों के तहत बायपास या संशोधित करने की अनुमति देते हैं, लेकिन यह एकमात्र तरीका नहीं है!

-Exceptions refer to specific rules or conditions that allow a policy to be bypassed or modified under certain circumstances but this is not the only way !
+**kyverno** के लिए, जैसे ही एक मान्यकरण नीति होती है, वेबहुक `kyverno-resource-validating-webhook-cfg` भरा जाता है।

-For **kyverno**, as you as there is a validating policy, the webhook `kyverno-resource-validating-webhook-cfg` is populated.
+Gatekeeper के लिए, `gatekeeper-validating-webhook-configuration` YAML फ़ाइल है।

-For Gatekeeper, there is `gatekeeper-validating-webhook-configuration` YAML file.
-
-Both come from with default values but the Administrator teams might updated those 2 files.
-
-### Use Case
+दोनों डिफ़ॉल्ट मानों के साथ आते हैं, लेकिन प्रशासक टीमें उन 2 फ़ाइलों को अपडेट कर सकती हैं।

+### उपयोग का मामला
 ```bash
 $ kubectl get validatingwebhookconfiguration kyverno-resource-validating-webhook-cfg -o yaml
 ```
-
-Now, identify the following output :
-
+अब, निम्नलिखित आउटपुट की पहचान करें:
 ```yaml
 namespaceSelector:
-  matchExpressions:
-    - key: kubernetes.io/metadata.name
-      operator: NotIn
-      values:
-        - default
-        - TEST
-        - YOYO
-        - kube-system
-        - MYAPP
+matchExpressions:
+- key: kubernetes.io/metadata.name
+operator: NotIn
+values:
+- default
+- TEST
+- YOYO
+- kube-system
+- MYAPP
 ```
+यहाँ, `kubernetes.io/metadata.name` लेबल नामस्थान के नाम को संदर्भित करता है। `values` सूची में नाम वाले नामस्थान नीति से बाहर रखे जाएंगे:

-Here, `kubernetes.io/metadata.name` label refers to the namespace name. Namespaces with names in the `values` list will be excluded from the policy :
+नामस्थान की उपस्थिति की जांच करें। कभी-कभी, स्वचालन या गलत कॉन्फ़िगरेशन के कारण, कुछ नामस्थान नहीं बनाए गए हो सकते हैं। यदि आपके पास नामस्थान बनाने की अनुमति है, तो आप `values` सूची में नाम के साथ एक नामस्थान बना सकते हैं और नीतियाँ आपके नए नामस्थान पर लागू नहीं होंगी।

-Check namespaces existence. Sometimes, due to automation or misconfiguration, some namespaces might have not been created. If you have permission to create namespace, you could create a namespace with a name in the `values` list and policies won't apply your new namespace.
-
-The goal of this attack is to exploit **misconfiguration** inside VWC in order to bypass operators restrictions and then elevate your privileges with other techniques
+इस हमले का लक्ष्य VWC के भीतर **गलत कॉन्फ़िगरेशन** का लाभ उठाना है ताकि ऑपरेटर की सीमाओं को बायपास किया जा सके और फिर अन्य तकनीकों के साथ अपने विशेषाधिकारों को बढ़ाया जा सके।

 {{#ref}}
 abusing-roles-clusterroles-in-kubernetes/
 {{#endref}}

-## References
+## संदर्भ

 - [https://github.com/open-policy-agent/gatekeeper](https://github.com/open-policy-agent/gatekeeper)
 - [https://kyverno.io/](https://kyverno.io/)
 - [https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/](https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/)
-
-
-
-