Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/

src/pentesting-cloud/pentesting-cloud-methodology.md

@@ -9,28 +9,28 @@
 Jede Cloud hat ihre eigenen Besonderheiten, aber im Allgemeinen gibt es einige **gemeinsame Dinge, die ein Pentester überprüfen sollte**, wenn er eine Cloud-Umgebung testet:
 
 - **Benchmark-Überprüfungen**
-- Dies wird Ihnen helfen, **die Größe** der Umgebung und **die verwendeten Dienste** zu **verstehen**.
-- Es wird Ihnen auch ermöglichen, einige **schnelle Fehlkonfigurationen** zu finden, da Sie die meisten dieser Tests mit **automatisierten Tools** durchführen können.
+- Dies wird Ihnen helfen, **die Größe** der Umgebung und **die verwendeten Dienste** zu verstehen.
+- Es ermöglicht Ihnen auch, einige **schnelle Fehlkonfigurationen** zu finden, da Sie die meisten dieser Tests mit **automatisierten Tools** durchführen können.
 - **Dienstenumeration**
 - Sie werden hier wahrscheinlich nicht viel mehr Fehlkonfigurationen finden, wenn Sie die Benchmark-Tests korrekt durchgeführt haben, aber Sie könnten einige finden, die im Benchmark-Test nicht gesucht wurden.
-- Dies wird Ihnen ermöglichen, **genau zu wissen, was verwendet wird** in der Cloud-Umgebung.
+- Dies wird Ihnen ermöglichen zu wissen, **was genau verwendet wird** in der Cloud-Umgebung.
 - Dies wird in den nächsten Schritten sehr hilfreich sein.
 - **Überprüfen Sie exponierte Ressourcen**
-- Dies kann während des vorherigen Abschnitts erfolgen, Sie müssen **alles herausfinden, was potenziell exponiert ist** und wie darauf zugegriffen werden kann.
-- Hier spreche ich von **manuell exponierter Infrastruktur**, wie Instanzen mit Webseiten oder anderen exponierten Ports, sowie von anderen **cloudverwalteten Diensten, die konfiguriert werden können**, um exponiert zu sein (wie DBs oder Buckets).
+- Dies kann während des vorherigen Abschnitts erfolgen, Sie müssen **alles herausfinden, was potenziell exponiert** ist und wie darauf zugegriffen werden kann.
+- Hier beziehe ich mich auf **manuell exponierte Infrastruktur**, wie Instanzen mit Webseiten oder anderen exponierten Ports, sowie auf andere **cloudverwaltete Dienste, die konfiguriert werden können**, um exponiert zu sein (wie DBs oder Buckets).
 - Dann sollten Sie überprüfen, **ob diese Ressource exponiert werden kann oder nicht** (vertrauliche Informationen? Schwachstellen? Fehlkonfigurationen im exponierten Dienst?).
 - **Überprüfen Sie Berechtigungen**
 - Hier sollten Sie **alle Berechtigungen jeder Rolle/Jedes Benutzers** in der Cloud herausfinden und wie sie verwendet werden.
-- Zu **viele hochprivilegierte** (alles kontrollieren) Konten? Generierte Schlüssel, die nicht verwendet werden?... Die meisten dieser Überprüfungen sollten bereits in den Benchmark-Tests durchgeführt worden sein.
+- Zu **viele hochprivilegierte** (alles kontrollierende) Konten? Generierte Schlüssel, die nicht verwendet werden?... Die meisten dieser Überprüfungen sollten bereits in den Benchmark-Tests durchgeführt worden sein.
 - Wenn der Kunde OpenID oder SAML oder eine andere **Föderation** verwendet, müssen Sie möglicherweise nach weiteren **Informationen** fragen, wie **jede Rolle zugewiesen wird** (es ist nicht dasselbe, ob die Admin-Rolle einem Benutzer oder 100 Benutzern zugewiesen ist).
 - Es ist **nicht genug zu finden**, welche Benutzer **Admin**-Berechtigungen "\*:\*" haben. Es gibt viele **andere Berechtigungen**, die je nach den verwendeten Diensten sehr **sensibel** sein können.
 - Darüber hinaus gibt es **potenzielle Privilegieneskalations**-Wege, die durch den Missbrauch von Berechtigungen verfolgt werden können. All diese Dinge sollten berücksichtigt werden und **so viele Privilegieneskalationspfade wie möglich** sollten gemeldet werden.
 - **Überprüfen Sie Integrationen**
 - Es ist sehr wahrscheinlich, dass **Integrationen mit anderen Clouds oder SaaS** innerhalb der Cloud-Umgebung verwendet werden.
-- Für **Integrationen der Cloud, die Sie auditieren**, mit anderen Plattformen sollten Sie **benachrichtigen, wer Zugang hat, um diese Integration (miss)zu verwenden**, und Sie sollten fragen, **wie sensibel** die durchgeführte Aktion ist.\
+- Für **Integrationen der Cloud, die Sie prüfen**, sollten Sie benachrichtigen, **wer Zugriff hat, um diese Integration (miss)zuverwenden**, und Sie sollten fragen, **wie sensibel** die durchgeführte Aktion ist.\
 Zum Beispiel, wer kann in einen AWS-Bucket schreiben, aus dem GCP Daten bezieht (fragen Sie, wie sensibel die Aktion in GCP im Umgang mit diesen Daten ist).
-- Für **Integrationen innerhalb der Cloud, die Sie auditieren**, von externen Plattformen sollten Sie fragen, **wer externen Zugang hat, um diese Integration (miss)zu verwenden**, und überprüfen, wie diese Daten verwendet werden.\
-Zum Beispiel, wenn ein Dienst ein Docker-Image verwendet, das in GCR gehostet wird, sollten Sie fragen, wer Zugang hat, um das zu ändern, und welche sensiblen Informationen und Zugriffe dieses Image erhält, wenn es in einer AWS-Cloud ausgeführt wird.
+- Für **Integrationen innerhalb der Cloud, die Sie prüfen**, von externen Plattformen sollten Sie fragen, **wer externen Zugriff hat, um diese Integration (miss)zuverwenden**, und überprüfen, wie diese Daten verwendet werden.\
+Zum Beispiel, wenn ein Dienst ein Docker-Image verwendet, das in GCR gehostet wird, sollten Sie fragen, wer Zugriff hat, um das zu ändern, und welche sensiblen Informationen und Zugriffe dieses Image erhält, wenn es in einer AWS-Cloud ausgeführt wird.
 
 ## Multi-Cloud-Tools
 
@@ -71,7 +71,7 @@ python3 main.py -e -p google #Enumerate the env
 
 ### [Prowler](https://github.com/prowler-cloud/prowler)
 
-Es unterstützt **AWS, GCP & Azure**. Überprüfen Sie, wie Sie jeden Anbieter unter [https://docs.prowler.cloud/en/latest/#aws](https://docs.prowler.cloud/en/latest/#aws) konfigurieren.
+Es unterstützt **AWS, GCP & Azure**. Überprüfen Sie, wie Sie jeden Anbieter in [https://docs.prowler.cloud/en/latest/#aws](https://docs.prowler.cloud/en/latest/#aws) konfigurieren.
 ```bash
 # Install
 pip install prowler
@@ -170,7 +170,7 @@ steampipe check all
 
 <summary>Alle Projekte überprüfen</summary>
 
-Um alle Projekte zu überprüfen, müssen Sie die Datei `gcp.spc` generieren, die alle zu testenden Projekte angibt. Sie können einfach den Anweisungen des folgenden Skripts folgen.
+Um alle Projekte zu überprüfen, müssen Sie die Datei `gcp.spc` erstellen, die alle zu testenden Projekte angibt. Sie können einfach den Anweisungen des folgenden Skripts folgen.
 ```bash
 FILEPATH="/tmp/gcp.spc"
 rm -rf "$FILEPATH" 2>/dev/null
@@ -255,7 +255,7 @@ sudo mv cloudlist /usr/local/bin
 ```
 {{#endtab }}
 
-{{#tab name="Zweiter Tab" }}
+{{#tab name="Zweite Registerkarte" }}
 ```bash
 ## For GCP it requires service account JSON credentials
 cloudlist -config </path/to/config>
@@ -263,7 +263,7 @@ cloudlist -config </path/to/config>
 {{#endtab }}
 {{#endtabs }}
 
-### [**cartography**](https://github.com/lyft/cartography)
+### [**Cartography**](https://github.com/lyft/cartography)
 
 Cartography ist ein Python-Tool, das Infrastrukturressourcen und die Beziehungen zwischen ihnen in einer intuitiven grafischen Ansicht konsolidiert, die von einer Neo4j-Datenbank unterstützt wird.
 
@@ -377,7 +377,7 @@ Ein Tool, um die Infrastruktur, Dateien und Apps eines Unternehmens (Ziel) bei d
 ### [CloudFox](https://github.com/BishopFox/cloudfox)
 
 - CloudFox ist ein Tool, um ausnutzbare Angriffswege in der Cloud-Infrastruktur zu finden (derzeit werden nur AWS und Azure unterstützt, GCP kommt bald).
-- Es ist ein Enumerationswerkzeug, das dazu gedacht ist, manuelles pentesting zu ergänzen.
+- Es ist ein Enumerationswerkzeug, das dazu gedacht ist, manuelles Pentesting zu ergänzen.
 - Es erstellt oder ändert keine Daten innerhalb der Cloud-Umgebung.
 
 ### Weitere Listen von Cloud-Sicherheitswerkzeugen
@@ -412,7 +412,7 @@ azure-security/
 
 ### Angriffsgraph
 
-[**Stormspotter** ](https://github.com/Azure/Stormspotter) erstellt einen „Angriffsgraph“ der Ressourcen in einem Azure-Abonnement. Es ermöglicht roten Teams und Pentestern, die Angriffsfläche und Pivot-Möglichkeiten innerhalb eines Mandanten zu visualisieren und stärkt Ihre Verteidiger, um schnell zu orientieren und die Incident-Response-Arbeit zu priorisieren.
+[**Stormspotter** ](https://github.com/Azure/Stormspotter) erstellt einen „Angriffsgraph“ der Ressourcen in einem Azure-Abonnement. Es ermöglicht roten Teams und Pentestern, die Angriffsfläche und Pivot-Möglichkeiten innerhalb eines Mandanten zu visualisieren und unterstützt Ihre Verteidiger, um schnell zu orientieren und die Incident-Response-Arbeit zu priorisieren.
 
 ### Office365