gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 06:30:35 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/README.md', 'src/pe

Browse Source
This commit is contained in:
Translator
2025-01-02 00:01:28 +00:00
parent 4bcd54c1b6
commit c0ee8b41f2
215 changed files with 1371 additions and 1387 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/kubernetes-security/kubernetes-validatingwebhookconfiguration.md
View File

@@ -4,11 +4,11 @@
## Definition
ValidatingWebhookConfiguration ist eine Kubernetes-Ressource, die einen Validierungswebhook definiert, der eine serverseitige Komponente ist, die eingehende Kubernetes-API-Anfragen gegen eine Reihe vordefinierter Regeln und Einschränkungen validiert.
ValidatingWebhookConfiguration ist eine Kubernetes-Ressource, die ein Validierungs-WebHook definiert, das eine serverseitige Komponente ist, die eingehende Kubernetes-API-Anfragen anhand einer Reihe vordefinierter Regeln und Einschränkungen validiert.
## Zweck
Der Zweck einer ValidatingWebhookConfiguration besteht darin, einen Validierungswebhook zu definieren, der eine Reihe vordefinierter Regeln und Einschränkungen für eingehende Kubernetes-API-Anfragen durchsetzt. Der Webhook validiert die Anfragen gegen die in der Konfiguration definierten Regeln und Einschränkungen und gibt einen Fehler zurück, wenn die Anfrage nicht den Regeln entspricht.
Der Zweck einer ValidatingWebhookConfiguration besteht darin, einen Validierungs-WebHook zu definieren, der eine Reihe vordefinierter Regeln und Einschränkungen für eingehende Kubernetes-API-Anfragen durchsetzt. Der WebHook validiert die Anfragen anhand der in der Konfiguration definierten Regeln und Einschränkungen und gibt einen Fehler zurück, wenn die Anfrage nicht den Regeln entspricht.
**Beispiel**
@@ -39,7 +39,7 @@ Der Hauptunterschied zwischen einer ValidatingWebhookConfiguration und Richtlini
<figure><img src="../../images/Kyverno.png" alt=""><figcaption><p>Kyverno.png</p></figcaption></figure>
- **ValidatingWebhookConfiguration (VWC)** : Eine Kubernetes-Ressource, die einen Validierungswebhook definiert, der eine serverseitige Komponente ist, die eingehende Kubernetes-API-Anfragen anhand einer Reihe vordefinierter Regeln und Einschränkungen validiert.
- **ValidatingWebhookConfiguration (VWC)** : Eine Kubernetes-Ressource, die ein Validierungswebhook definiert, das eine serverseitige Komponente ist, die eingehende Kubernetes-API-Anfragen anhand einer Reihe vordefinierter Regeln und Einschränkungen validiert.
- **Kyverno ClusterPolicy**: Eine Richtliniendefinition, die eine Reihe von Regeln und Einschränkungen für die Validierung und Durchsetzung von Kubernetes-Ressourcen wie Pods, Deployments und Services spezifiziert.
## Enumeration
@@ -54,9 +54,9 @@ Wie wir sehen können, haben alle installierten Operatoren mindestens eine Valid
Ausnahmen beziehen sich auf spezifische Regeln oder Bedingungen, die es ermöglichen, eine Richtlinie unter bestimmten Umständen zu umgehen oder zu ändern, aber das ist nicht der einzige Weg!
Für **kyverno**, sobald eine validierende Richtlinie vorhanden ist, wird das Webhook `kyverno-resource-validating-webhook-cfg` befüllt.
Für **kyverno** wird, sobald eine validierende Richtlinie vorhanden ist, der Webhook `kyverno-resource-validating-webhook-cfg` befüllt.
Für Gatekeeper gibt es die `gatekeeper-validating-webhook-configuration` YAML-Datei.
Für Gatekeeper gibt es die YAML-Datei `gatekeeper-validating-webhook-configuration`.
Beide kommen mit Standardwerten, aber die Administratorenteams könnten diese 2 Dateien aktualisiert haben.
@@ -77,11 +77,11 @@ values:
- kube-system
- MYAPP
```
Hier bezieht sich das Label `kubernetes.io/metadata.name` auf den Namen des Namensraums. Namensräume mit Namen in der `values`-Liste werden von der Richtlinie ausgeschlossen:
Hier bezieht sich das Label `kubernetes.io/metadata.name` auf den Namespace-Namen. Namespaces mit Namen in der `values`-Liste werden von der Richtlinie ausgeschlossen:
Überprüfen Sie die Existenz von Namensräumen. Manchmal wurden aufgrund von Automatisierung oder Fehlkonfiguration einige Namensräume möglicherweise nicht erstellt. Wenn Sie die Berechtigung haben, einen Namensraum zu erstellen, könnten Sie einen Namensraum mit einem Namen in der `values`-Liste erstellen, und die Richtlinien würden auf Ihren neuen Namensraum nicht angewendet.
Überprüfen Sie die Existenz von Namespaces. Manchmal wurden aufgrund von Automatisierung oder Fehlkonfiguration einige Namespaces möglicherweise nicht erstellt. Wenn Sie die Berechtigung haben, einen Namespace zu erstellen, könnten Sie einen Namespace mit einem Namen in der `values`-Liste erstellen, und die Richtlinien würden auf Ihren neuen Namespace nicht angewendet.
Das Ziel dieses Angriffs ist es, **Fehlkonfigurationen** innerhalb von VWC auszunutzen, um die Einschränkungen der Betreiber zu umgehen und dann Ihre Berechtigungen mit anderen Techniken zu erhöhen.
Das Ziel dieses Angriffs ist es, **Fehlkonfigurationen** innerhalb von VWC auszunutzen, um die Einschränkungen der Operatoren zu umgehen und dann Ihre Berechtigungen mit anderen Techniken zu erhöhen.
{{#ref}}
abusing-roles-clusterroles-in-kubernetes/