Kubernetes Kyverno bypass
Die oorspronklike skrywer van hierdie bladsy is Guillaume
Misbruik van beleidsmisconfigurasie
Lys van reëls
Om 'n oorsig te hê, kan help om te weet watter reëls aktief is, in watter modus en wie dit kan omseil
Enumerate Excluded
Vir elke ClusterPolicy en Policy kan jy 'n lys van uitgeslote entiteite spesifiseer, insluitend:
Groepe:
excludedGroups
Gebruikers:
excludedUsers
Diensrekeninge (SA):
excludedServiceAccounts
Rolle:
excludedRoles
Klasrolle:
excludedClusterRoles
Hierdie uitgeslote entiteite sal vrygestel wees van die beleidsvereistes, en Kyverno sal die beleid nie vir hulle afdwing nie.
Example
Kom ons kyk na een clusterpolicy voorbeeld :
Soek na die uitgeslote entiteite :
Binnen 'n kluster kan verskeie bygevoegde komponente, operateurs en toepassings uitsluiting van 'n klusterbeleid vereis. Dit kan egter uitgebuit word deur te fokus op bevoorregte entiteite. In sommige gevalle kan dit voorkom asof 'n naamruimte nie bestaan nie of dat jy nie toestemming het om 'n gebruiker na te boots nie, wat 'n teken van miskonfigurasie kan wees.
Misbruik van ValidatingWebhookConfiguration
Nog 'n manier om beleide te omseil, is om op die ValidatingWebhookConfiguration hulpbron te fokus :
Last updated