Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/

src/pentesting-cloud/pentesting-cloud-methodology.md

@@ -8,37 +8,37 @@
 
 प्रत्येक क्लाउड की अपनी विशेषताएँ होती हैं लेकिन सामान्यतः कुछ **सामान्य बातें हैं जिन्हें एक pentester को** क्लाउड वातावरण का परीक्षण करते समय जांचना चाहिए:
 
-- **Benchmark checks**
-- यह आपको **पर्यावरण का आकार** और **सेवाओं का उपयोग** समझने में मदद करेगा
+- **बेंचमार्क जांचें**
+- यह आपको **पर्यावरण का आकार समझने** में मदद करेगा और **सेवाओं का उपयोग** करेगा
 - यह आपको कुछ **त्वरित गलत कॉन्फ़िगरेशन** खोजने की अनुमति देगा क्योंकि आप इनमें से अधिकांश परीक्षण **स्वचालित उपकरणों** के साथ कर सकते हैं
-- **Services Enumeration**
-- यदि आपने बेंचमार्क परीक्षण सही ढंग से किया है तो आप यहाँ अधिक गलत कॉन्फ़िगरेशन नहीं पाएंगे, लेकिन आप कुछ पा सकते हैं जो बेंचमार्क परीक्षण में नहीं देखे गए थे।
-- यह आपको यह जानने की अनुमति देगा कि **क्लाउड env में क्या वास्तव में उपयोग किया जा रहा है**
+- **सेवाओं की गणना**
+- यदि आपने बेंचमार्क परीक्षण सही ढंग से किया है तो आप यहाँ अधिक गलत कॉन्फ़िगरेशन नहीं पाएंगे, लेकिन आप कुछ ऐसा पा सकते हैं जो बेंचमार्क परीक्षण में नहीं देखा गया था।
+- यह आपको यह जानने की अनुमति देगा कि **क्लाउड env में वास्तव में क्या उपयोग किया जा रहा है**
 - यह अगले चरणों में बहुत मदद करेगा
-- **Check exposed assets**
-- यह पिछले अनुभाग के दौरान किया जा सकता है, आपको **यह पता लगाना होगा कि क्या कुछ भी संभावित रूप से इंटरनेट पर एक्सपोज़ किया गया है** और इसे कैसे एक्सेस किया जा सकता है।
-- यहाँ मैं **हाथ से एक्सपोज़ की गई अवसंरचना** जैसे वेब पृष्ठों के साथ उदाहरणों या अन्य पोर्ट्स के बारे में बात कर रहा हूँ, और अन्य **क्लाउड प्रबंधित सेवाओं के बारे में जो एक्सपोज़ के लिए कॉन्फ़िगर की जा सकती हैं** (जैसे DBs या बकेट्स)
-- फिर आपको **जांचना चाहिए कि क्या उस संसाधन को एक्सपोज़ किया जा सकता है या नहीं** (गोपनीय जानकारी? कमजोरियाँ? एक्सपोज़ की गई सेवा में गलत कॉन्फ़िगरेशन?)
-- **Check permissions**
-- यहाँ आपको **क्लाउड के अंदर प्रत्येक भूमिका/उपयोगकर्ता की सभी अनुमतियों का पता लगाना चाहिए** और उनका उपयोग कैसे किया जा रहा है
-- बहुत **अधिक उच्च विशेषाधिकार प्राप्त** (सब कुछ नियंत्रित करने वाले) खाते? उत्पन्न कुंजी का उपयोग नहीं किया गया?... इनमें से अधिकांश जांच पहले से ही बेंचमार्क परीक्षणों में की जानी चाहिए थी
-- यदि ग्राहक OpenID या SAML या अन्य **federation** का उपयोग कर रहा है तो आपको उनसे आगे की **जानकारी** पूछनी पड़ सकती है कि **प्रत्येक भूमिका कैसे असाइन की जा रही है** (यह समान नहीं है कि व्यवस्थापक भूमिका 1 उपयोगकर्ता को या 100 को असाइन की गई है)
-- यह **खोजना पर्याप्त नहीं है** कि कौन से उपयोगकर्ताओं के पास **admin** अनुमतियाँ "\*:\*" हैं। बहुत सारी **अन्य अनुमतियाँ** हैं जो उपयोग की जाने वाली सेवाओं के आधार पर बहुत **संवेदनशील** हो सकती हैं।
-- इसके अलावा, अनुमतियों का दुरुपयोग करते हुए **संभावित privesc** तरीके हैं। इन सभी बातों को ध्यान में रखा जाना चाहिए और **जितने संभव हो सके privesc पथों** की रिपोर्ट की जानी चाहिए।
-- **Check Integrations**
-- यह अत्यधिक संभावना है कि **अन्य क्लाउड या SaaS के साथ एकीकरण** क्लाउड env के अंदर उपयोग किए जा रहे हैं।
-- **आप जिस क्लाउड का ऑडिट कर रहे हैं** उसके एकीकरण के लिए आपको सूचित करना चाहिए **किसके पास उस एकीकरण का (दुरुपयोग) करने का अधिकार है** और आपको पूछना चाहिए **कितना संवेदनशील** है किया जा रहा कार्य।\
+- **खुले हुए संसाधनों की जांच करें**
+- यह पिछले अनुभाग के दौरान किया जा सकता है, आपको **यह पता लगाना होगा कि क्या कुछ भी संभावित रूप से इंटरनेट पर खुला है** और इसे कैसे एक्सेस किया जा सकता है।
+- यहाँ मैं **हाथ से खोली गई अवसंरचना** जैसे वेब पृष्ठों के साथ उदाहरणों या अन्य पोर्ट्स के बारे में बात कर रहा हूँ, और अन्य **क्लाउड प्रबंधित सेवाओं के बारे में जो खोली जा सकती हैं** (जैसे DBs या बकेट्स)
+- फिर आपको यह जांचना चाहिए कि **क्या उस संसाधन को खोला जा सकता है या नहीं** (गोपनीय जानकारी? कमजोरियाँ? खोली गई सेवा में गलत कॉन्फ़िगरेशन?)
+- **अनुमतियों की जांच करें**
+- यहाँ आपको **क्लाउड के भीतर प्रत्येक भूमिका/उपयोगकर्ता की सभी अनुमतियों का पता लगाना चाहिए** और उनका उपयोग कैसे किया जा रहा है
+- बहुत **अधिक उच्च विशेषाधिकार प्राप्त** (सब कुछ नियंत्रित करने वाले) खाते? उत्पन्न कुंजी का उपयोग नहीं किया गया?... इनमें से अधिकांश जांचें पहले से ही बेंचमार्क परीक्षणों में की जानी चाहिए थीं
+- यदि ग्राहक OpenID या SAML या अन्य **संघ** का उपयोग कर रहा है तो आपको उनसे आगे की **जानकारी** के लिए पूछना पड़ सकता है कि **प्रत्येक भूमिका कैसे सौंपा जा रहा है** (यह समान नहीं है कि व्यवस्थापक भूमिका 1 उपयोगकर्ता को या 100 को सौंपा गया है)
+- यह **खोजना पर्याप्त नहीं है** कि कौन से उपयोगकर्ताओं के पास **व्यवस्थापक** अनुमतियाँ हैं "\*:\*". बहुत सारी **अन्य अनुमतियाँ** हैं जो उपयोग की जाने वाली सेवाओं के आधार पर बहुत **संवेदनशील** हो सकती हैं।
+- इसके अलावा, अनुमतियों का दुरुपयोग करके **संभावित privesc** तरीके हैं। इन सभी बातों को ध्यान में रखा जाना चाहिए और **जितने संभव हो privesc पथों** की रिपोर्ट की जानी चाहिए।
+- **एकीकरण की जांच करें**
+- यह अत्यधिक संभावना है कि **अन्य क्लाउड या SaaS के साथ एकीकरण** क्लाउड env के भीतर उपयोग किया जा रहा है।
+- आपके द्वारा ऑडिट किए जा रहे क्लाउड के **एकीकरण** के लिए आपको सूचित करना चाहिए **किसके पास उस एकीकरण का (दुरुपयोग) करने का अधिकार है** और आपको पूछना चाहिए **कितना संवेदनशील** है किया जा रहा कार्य।\
 उदाहरण के लिए, कौन AWS बकेट में लिख सकता है जहाँ GCP डेटा प्राप्त कर रहा है (पूछें कि GCP में उस डेटा को संभालने में कार्य कितना संवेदनशील है)।
-- **आप जिस क्लाउड का ऑडिट कर रहे हैं** उसके अंदर बाहरी प्लेटफार्मों से एकीकरण के लिए, आपको पूछना चाहिए **किसके पास बाहरी रूप से उस एकीकरण का (दुरुपयोग) करने का अधिकार है** और जांचें कि उस डेटा का उपयोग कैसे किया जा रहा है।\
-उदाहरण के लिए, यदि एक सेवा GCR में होस्ट की गई Docker छवि का उपयोग कर रही है, तो आपको पूछना चाहिए कि इसे संशोधित करने का किसके पास अधिकार है और उस छवि को AWS क्लाउड के अंदर निष्पादित करने पर कौन सी संवेदनशील जानकारी और पहुंच प्राप्त होगी।
+- आपके द्वारा ऑडिट किए जा रहे क्लाउड के **अंदर बाहरी प्लेटफार्मों से एकीकरण** के लिए, आपको पूछना चाहिए **किसके पास बाहरी रूप से उस एकीकरण का (दुरुपयोग) करने का अधिकार है** और यह जांचें कि उस डेटा का उपयोग कैसे किया जा रहा है।\
+उदाहरण के लिए, यदि एक सेवा GCR में होस्ट की गई Docker छवि का उपयोग कर रही है, तो आपको पूछना चाहिए कि इसे संशोधित करने का किसके पास अधिकार है और उस छवि को AWS क्लाउड के भीतर निष्पादित करने पर कौन सी संवेदनशील जानकारी और पहुंच प्राप्त होगी।
 
 ## Multi-Cloud tools
 
-कई उपकरण हैं जो विभिन्न क्लाउड वातावरण का परीक्षण करने के लिए उपयोग किए जा सकते हैं। स्थापना के चरण और लिंक इस अनुभाग में बताए जाएंगे।
+कई उपकरण हैं जिन्हें विभिन्न क्लाउड वातावरण का परीक्षण करने के लिए उपयोग किया जा सकता है। स्थापना के चरण और लिंक इस अनुभाग में बताए जाएंगे।
 
 ### [PurplePanda](https://github.com/carlospolop/purplepanda)
 
-एक उपकरण जो **क्लाउड और क्लाउड/SaaS में खराब कॉन्फ़िगरेशन और privesc पथों की पहचान करने के लिए है।**
+एक उपकरण जो **क्लाउड और क्लाउड/SaaS में खराब कॉन्फ़िगरेशन और privesc पथों की पहचान** करता है।
 
 {{#tabs }}
 {{#tab name="Install" }}
@@ -91,7 +91,7 @@ prowler <provider> --list-services
 AWS, Azure, Github, Google, Oracle, Alibaba
 
 {{#tabs }}
-{{#tab name="इंस्टॉल करें" }}
+{{#tab name="Install" }}
 ```bash
 # Install
 git clone https://github.com/aquasecurity/cloudsploit.git
@@ -115,7 +115,7 @@ npm install
 AWS, Azure, GCP, Alibaba Cloud, Oracle Cloud Infrastructure
 
 {{#tabs }}
-{{#tab name="इंस्टॉल करें" }}
+{{#tab name="Install" }}
 ```bash
 mkdir scout; cd scout
 virtualenv -p python3 venv
@@ -170,7 +170,7 @@ steampipe check all
 
 <summary>सभी प्रोजेक्ट्स की जांच करें</summary>
 
-सभी प्रोजेक्ट्स की जांच करने के लिए आपको `gcp.spc` फ़ाइल उत्पन्न करनी होगी जो परीक्षण के लिए सभी प्रोजेक्ट्स को इंगित करती है। आप बस निम्नलिखित स्क्रिप्ट से संकेतों का पालन कर सकते हैं।
+सभी प्रोजेक्ट्स की जांच करने के लिए आपको `gcp.spc` फ़ाइल उत्पन्न करनी होगी जिसमें परीक्षण के लिए सभी प्रोजेक्ट्स का संकेत दिया गया हो। आप बस निम्नलिखित स्क्रिप्ट से संकेतों का पालन कर सकते हैं।
 ```bash
 FILEPATH="/tmp/gcp.spc"
 rm -rf "$FILEPATH" 2>/dev/null
@@ -194,7 +194,7 @@ echo "Copy $FILEPATH in ~/.steampipe/config/gcp.spc if it was correctly generate
 ```
 </details>
 
-**अन्य GCP अंतर्दृष्टि** (सेवाओं की गणना के लिए उपयोगी) की जांच करने के लिए उपयोग करें: [https://github.com/turbot/steampipe-mod-gcp-insights](https://github.com/turbot/steampipe-mod-gcp-insights)
+**अन्य GCP अंतर्दृष्टियों** (सेवाओं की गणना के लिए उपयोगी) की जांच करने के लिए उपयोग करें: [https://github.com/turbot/steampipe-mod-gcp-insights](https://github.com/turbot/steampipe-mod-gcp-insights)
 
 Terraform GCP कोड की जांच करने के लिए: [https://github.com/turbot/steampipe-mod-terraform-gcp-compliance](https://github.com/turbot/steampipe-mod-terraform-gcp-compliance)
 
@@ -233,7 +233,7 @@ Steampipe के अधिक AWS प्लगइन्स: [https://github.com/
 
 ### [~~cs-suite~~](https://github.com/SecurityFTW/cs-suite)
 
-AWS, GCP, Azure, DigitalOcean।\
+AWS, GCP, Azure, DigitalOcean.\
 यह python2.7 की आवश्यकता है और यह अप्रबंधित लगता है।
 
 ### Nessus
@@ -242,7 +242,7 @@ Nessus में _**Audit Cloud Infrastructure**_ स्कैन है जो
 
 ### [**cloudlist**](https://github.com/projectdiscovery/cloudlist)
 
-Cloudlist एक **मल्टी-क्लाउड टूल है जो क्लाउड प्रदाताओं से एसेट्स (होस्टनेम, आईपी पते) प्राप्त करने के लिए है।**
+Cloudlist एक **multi-cloud tool for getting Assets** (Hostnames, IP Addresses) है जो Cloud Providers से प्राप्त करता है।
 
 {{#tabs }}
 {{#tab name="Cloudlist" }}
@@ -255,7 +255,7 @@ sudo mv cloudlist /usr/local/bin
 ```
 {{#endtab }}
 
-{{#tab name="दूसरा टैब" }}
+{{#tab name="Second Tab" }}
 ```bash
 ## For GCP it requires service account JSON credentials
 cloudlist -config </path/to/config>
@@ -263,12 +263,12 @@ cloudlist -config </path/to/config>
 {{#endtab }}
 {{#endtabs }}
 
-### [**cartography**](https://github.com/lyft/cartography)
+### [**कार्टोग्राफी**](https://github.com/lyft/cartography)
 
-Cartography एक Python उपकरण है जो बुनियादी ढांचे के संपत्तियों और उनके बीच के संबंधों को एक सहज ग्राफ दृश्य में समेकित करता है, जो Neo4j डेटाबेस द्वारा संचालित होता है।
+कार्टोग्राफी एक Python उपकरण है जो बुनियादी ढांचे के संपत्तियों और उनके बीच के संबंधों को एक सहज ग्राफ दृश्य में समेकित करता है जो Neo4j डेटाबेस द्वारा संचालित होता है।
 
 {{#tabs }}
-{{#tab name="Install" }}
+{{#tab name="इंस्टॉल" }}
 ```bash
 # Installation
 docker image pull ghcr.io/lyft/cartography
@@ -302,7 +302,7 @@ ghcr.io/lyft/cartography  \
 
 ### [**starbase**](https://github.com/JupiterOne/starbase)
 
-Starbase सेवाओं और प्रणालियों से संपत्तियों और संबंधों को एक सहज ग्राफ दृश्य में एकत्र करता है, जिसमें क्लाउड अवसंरचना, SaaS अनुप्रयोग, सुरक्षा नियंत्रण और अधिक शामिल हैं, जो Neo4j डेटाबेस द्वारा समर्थित है।
+Starbase सेवाओं और प्रणालियों से संपत्तियों और संबंधों को एकत्र करता है, जिसमें क्लाउड अवसंरचना, SaaS अनुप्रयोग, सुरक्षा नियंत्रण और अधिक शामिल हैं, जो Neo4j डेटाबेस द्वारा समर्थित एक सहज ग्राफ दृश्य में प्रस्तुत किया जाता है।
 
 {{#tabs }}
 {{#tab name="Install" }}
@@ -376,7 +376,7 @@ Scan-AzureAdmins
 
 ### [CloudFox](https://github.com/BishopFox/cloudfox)
 
-- CloudFox एक उपकरण है जो क्लाउड अवसंरचना में उपयोग किए जाने योग्य हमले के रास्तों को खोजने के लिए है (वर्तमान में केवल AWS और Azure का समर्थन किया गया है, GCP आने वाला है)।
+- CloudFox एक उपकरण है जो क्लाउड अवसंरचना में उपयोग किए जा सकने वाले हमले के रास्तों को खोजने के लिए है (वर्तमान में केवल AWS और Azure का समर्थन किया गया है, GCP आने वाला है)।
 - यह एक एन्यूमरेशन उपकरण है जिसे मैनुअल pentesting के पूरक के रूप में डिज़ाइन किया गया है।
 - यह क्लाउड वातावरण के भीतर कोई डेटा नहीं बनाता या संशोधित नहीं करता है।
 
@@ -410,9 +410,9 @@ aws-security/
 azure-security/
 {{#endref}}
 
-### हमले का ग्राफ
+### Attack Graph
 
-[**Stormspotter** ](https://github.com/Azure/Stormspotter) एक Azure सदस्यता में संसाधनों का “हमला ग्राफ” बनाता है। यह रेड टीमों और pentesters को हमले की सतह और एक टेनेट के भीतर पिवट अवसरों को दृश्य बनाने में सक्षम बनाता है, और आपके रक्षकों को तेजी से उन्मुख और घटना प्रतिक्रिया कार्य को प्राथमिकता देने के लिए सुपरचार्ज करता है।
+[**Stormspotter** ](https://github.com/Azure/Stormspotter) Azure सदस्यता में संसाधनों का “हमला ग्राफ” बनाता है। यह रेड टीमों और pentesters को हमले की सतह और एक टेनेट के भीतर पिवट अवसरों को दृश्य बनाने में सक्षम बनाता है, और आपके रक्षकों को तेजी से उन्मुख और घटना प्रतिक्रिया कार्य को प्राथमिकता देने के लिए सुपरचार्ज करता है।
 
 ### Office365