gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 14:40:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/README.md', 'src/pe

Browse Source
This commit is contained in:
Translator
2025-01-01 23:59:39 +00:00
parent 9bd90436f1
commit 4ffa248b02
210 changed files with 1311 additions and 1324 deletions
Download Patch File Download Diff File Expand all files Collapse all files

12
src/pentesting-cloud/kubernetes-security/kubernetes-validatingwebhookconfiguration.md
View File

@@ -8,7 +8,7 @@ ValidatingWebhookConfiguration est une ressource Kubernetes qui définit un webh
## Objectif
L'objectif d'un ValidatingWebhookConfiguration est de définir un webhook de validation qui appliquera un ensemble de règles et de contraintes prédéfinies sur les requêtes API Kubernetes entrantes. Le webhook validera les requêtes par rapport aux règles et contraintes définies dans la configuration, et renverra une erreur si la requête ne respecte pas les règles.
L'objectif d'un ValidatingWebhookConfiguration est de définir un webhook de validation qui appliquera un ensemble de règles et de contraintes prédéfinies sur les requêtes API Kubernetes entrantes. Le webhook validera les requêtes par rapport aux règles et contraintes définies dans la configuration et renverra une erreur si la requête ne respecte pas les règles.
**Exemple**
@@ -46,7 +46,7 @@ La principale différence entre un ValidatingWebhookConfiguration et des politiq
```
$ kubectl get ValidatingWebhookConfiguration
```
### Abuser de Kyverno et Gatekeeper VWC
### Abus de Kyverno et de Gatekeeper VWC
Comme nous pouvons le voir, tous les opérateurs installés ont au moins une ValidatingWebHookConfiguration (VWC).
@@ -54,17 +54,17 @@ Comme nous pouvons le voir, tous les opérateurs installés ont au moins une Val
Les exceptions se réfèrent à des règles ou conditions spécifiques qui permettent à une politique d'être contournée ou modifiée dans certaines circonstances, mais ce n'est pas la seule façon !
Pour **kyverno**, tant qu'il y a une politique de validation, le webhook `kyverno-resource-validating-webhook-cfg` est peuplé.
Pour **kyverno**, dès qu'il y a une politique de validation, le webhook `kyverno-resource-validating-webhook-cfg` est peuplé.
Pour Gatekeeper, il y a le fichier YAML `gatekeeper-validating-webhook-configuration`.
Les deux viennent avec des valeurs par défaut, mais les équipes administratrices peuvent mettre à jour ces 2 fichiers.
Les deux proviennent de valeurs par défaut, mais les équipes administratrices peuvent avoir mis à jour ces 2 fichiers.
### Cas d'utilisation
```bash
$ kubectl get validatingwebhookconfiguration kyverno-resource-validating-webhook-cfg -o yaml
```
Maintenant, identifiez la sortie suivante :
Identifiez maintenant la sortie suivante :
```yaml
namespaceSelector:
matchExpressions:
@@ -81,7 +81,7 @@ Ici, le label `kubernetes.io/metadata.name` fait référence au nom de l'espace
Vérifiez l'existence des espaces de noms. Parfois, en raison de l'automatisation ou d'une mauvaise configuration, certains espaces de noms peuvent ne pas avoir été créés. Si vous avez la permission de créer un espace de noms, vous pourriez créer un espace de noms avec un nom dans la liste `values` et les politiques ne s'appliqueront pas à votre nouvel espace de noms.
L'objectif de cette attaque est d'exploiter la **mauvaise configuration** à l'intérieur de VWC afin de contourner les restrictions des opérateurs et ensuite d'élever vos privilèges avec d'autres techniques.
L'objectif de cette attaque est d'exploiter **la mauvaise configuration** à l'intérieur de VWC afin de contourner les restrictions des opérateurs et ensuite d'élever vos privilèges avec d'autres techniques.
{{#ref}}
abusing-roles-clusterroles-in-kubernetes/