Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly

Tag: kubernetes

Wprowadzenie do OWASP secureCodeBox

12 kwietnia 2024, 11:51 | Teksty | 0 komentarzy
Wprowadzenie do OWASP secureCodeBox

Mam wrażenie, że mało kto słyszał o open-source’owym projekcie secureCodeBox, spod znaku OWASP. W sumie to się nie dziwię, bo ja pierwszy raz usłyszałem o nim kilka miesięcy temu, kiedy aplikowałem na stanowisko związane z obszarem Application Security, które akurat miało w dodatkowych wymaganiach znajomość tego narzędzia. W rezultacie poznałem…

Czytaj dalej »

Leaky Vessels – nowa seria podatności w konteneryzacji

08 lutego 2024, 12:49 | W biegu | 0 komentarzy
Leaky Vessels – nowa seria podatności w konteneryzacji

Słowo kontener w IT jednoznacznie kojarzy się z dockerem chociaż nie jest to jedyna technologia pozwalająca na opakowanie oprogramowania w paczkę, która zawiera niezbędne do uruchomienia środowisko (czyli zależności, biblioteki). Kontenery mogą korzystać np. z namespaces i cgroups, aby odizolować uruchamiane programy od siebie nawzajem. Współdzielenie kernela systemu bazowego powoduje,…

Czytaj dalej »

Kompendium wiedzy o bezpieczeństwie Kubernetes (OWASP Kubernetes Top 10)

22 lutego 2023, 09:43 | W biegu | komentarze 2
Kompendium wiedzy o bezpieczeństwie Kubernetes (OWASP Kubernetes Top 10)

Warto zapisać w swoich zakładkach ten zasób, gdzie autor w dość rozbudowany sposób omawia projekt OWASP Kubernetes Top 10: Mamy tu przejście od tematów związanych z brakiem segmentacji na poziomie sieciowym, przez np. błędne zarządzanie sekretami aż po konkretne podatności – czy błędy konfiguracyjne – umożliwiające np. wyskakiwanie z kontenerów….

Czytaj dalej »

SQL injection, wykonanie kodu w OS, problemy z Kubernetesem, sekrety w obrazach Dockera. Można było podmieniać bazowe obrazy w części cloudu IBMa

12 grudnia 2022, 11:00 | W biegu | komentarze 4
SQL injection, wykonanie kodu w OS, problemy z Kubernetesem, sekrety w obrazach Dockera. Można było podmieniać bazowe obrazy w części cloudu IBMa

Niebanalny research tutaj. Pierwszym krokiem było zlokalizowanie podatności SQL injection (z poziomu zwykłego użytkownika cloudu IBMa): Ale w sumie co daje SQL injection, jak przecież wykupując swoją bazę danych w IBM cloud i tak mamy możliwość wykonywania dowolnych poleceń SQL-owych? Odpowiedź znajduje się powyżej. Zobaczcie że zdefiniowana przez IBM funkcja…

Czytaj dalej »

Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

07 października 2019, 22:38 | W biegu | 0 komentarzy
Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…

Czytaj dalej »

Krytyczna podatność w Kubernetes. 9.8/10 w skali CVSS

04 grudnia 2018, 11:41 | W biegu | 0 komentarzy

Kubernetes generalnie uznawany jest za rozwiązanie bezpieczne (więcej o samym rozwiązaniu, dostępnych komponentach – tutaj). Rzeczywiście, historycznie nie było tutaj jakiejś ogromnej liczby bugów. A tymczasem użytkownicy mogą przejąć kontrolę nad całym systemem: An API call to any aggregated API server endpoint can be escalated to perform any API request against that…

Czytaj dalej »