SALTINBANK ADVENT OF CYBER'21 THM [Day 14] : Networking Dev(Insecure)Ops - CI/CD DEVOPS SUPPLY CHAIN

Channel:
France ♤ ʂąƖɬıოცąŋƙ ♤
Subscribers:
3,040
Published on ● Video Link: https://www.youtube.com/watch?v=sz882ih36jo


Duration: 41:30
46 views
0

JOUR 14 : Networking Dev(Insecure)Ops // Comprendre les attaques de "supply chain" (chaine logistique) et le principe de CD et CI dans la pratique informatique du DEVOPS ...
----------------------------------------------------------------------------------------------------------------------------------------------------
Cette simulation CI/CD visait à mettre en valeur les principaux types de vulnérabilités souvent observées dans l’automatisation CI/CD. Une application Jenkins installée localement peut avoir un composant non corrigé déployé pour diverses raisons opérationnelles. Cependant, il est rare qu’une vulnérabilité critique reste non corrigée pendant une période prolongée sur une infrastructure gérée par un fournisseur de services cloud tel qu’Amazon, Azure ou Google.

C’est la principale raison pour laquelle vous verrez plus souvent des vulnérabilités résultant d’une mauvaise gestion des accès, de privilèges de compte laxistes ou de failles logiques.
Dans l’exemple ci-dessus, nous avons vu:

-Autorisations de dossier trop laxistes: L’utilisateur McSkidy à faible privilège pouvait écrire dans le dossier « loot » de Grinch.

- Les autorisations de fichier ont été mal configurées : L’utilisateur McSkidy à faible privilège pouvait modifier le contenu du script loot.sh.

- Protection de clé incorrecte : Dans cet exemple, le mot de passe de Grinch peut être considéré comme la clé secrète utilisée pour connecter les composants CI/CD. Si la clé peut être lue à partir d’un fichier de configuration, l’attaquant peut réutiliser cette clé à son avantage.
L’installation n’était pas sécurisée : cronjobs exécutait régulièrement des tâches sans aucun contrôle pour les modifications non autorisées. Comme vous l’avez peut-être lu dans les nouvelles du secteur de la cybersec , un manque similaire de contrôles a conduit à des attaques de supply chain (SOLARWINDS, PIP, GEMS, etc) ...
==========================================================================
Vous avez mes playlists "WINDOWS ET LINUX POUR LES NULS" qui vous expliquent ces deux CTF (capture the flag) à faire:
https://tryhackme.com/room/winprivesc
https://tryhackme.com/room/linprivesc
Windows PLAYLIST:
https://www.youtube.com/watch?v=rj6Mtyccdok&list=PLOscZe227eyWQ1Mf9brzEgg8hZjnFC6mB
LINUX PLAYLIST:
https://www.youtube.com/watch?v=3ZlYrfNjKD4&list=PLOscZe227eyVOtFnIiSpiN1W2FZ4ZXQVJ
==========================================================================
Apprendre le hacking : https://store.steampowered.com/app/1341450/Yolo_Space_Hacker/
==========================================================================
PLAYLIST : ADVENT OF CYBER 3 2021 https://www.youtube.com/watch?v=MfzfDQ3pfik&list=PLOscZe227eyU6VS1GaHiWE-rR28p4FC61
---------------------------------------------------------------------------------------------------------------------------------------------------
PLAYLIST RESEAUX : https://www.youtube.com/playlist?list=PLOscZe227eyVdvarKRYswOUpF4C2XYkUq
==========================================================================
Thanks for watching!
Благодарю за просмотр!
Kiitos katsomisesta
Danke fürs Zuschauen!
感谢您观看
Merci d'avoir regardé
Obrigado por assistir
دیکھنے کے لیے شکریہ
देखने के लिए धन्यवाद
Grazie per la visione
Gracias por ver
شكرا للمشاهدة
=========================================================================



Other Videos By ♤ ʂąƖɬıოცąŋƙ ♤


2021-12-17SALTINBANK ADVENT OF CYBER'21 THM [Day16] PARTIE II OSINT Le cycle RIS expliqué et un petit exercice
2021-12-17SALTINBANK ADVENT OF CYBER'21 THM [Day16] PARTIE I: Intelligence, Contre Intelligence, GRAYMAN ...
2021-12-17SALTINBANK - PYTHON FOR PENTESTER : Coder un programme qui va cracker les HASH !
2021-12-16SALTINBANK - PYTHON FOR PENTESTER : Coder un programme qui va servir de "scanner" de ports réseaux !
2021-12-16SALTINBANK - PYTHON FOR PENTESTER : Coder un programme qui va me télécharger mes outils de pentest.
2021-12-15SALTINBANK - Abuser des failles logicielles // PHP BROKEN - BYPASS façon PRO
2021-12-15SALTINBANK - WEB APP PENTEST : Introduction théorique aux failles IDOR ...
2021-12-15SALTINBANK - LINUX POUR LES NULS PRIVESC : Horizontale/Verticale, les logs, effacer ses traces ?!
2021-12-15SALTINBANK - SAMBA : Bye bye NFS/SMB - SAMBA DO BRAZIL CARALHO ...
2021-12-15SALTINBANK - FTP ANONYMOUS : abuser d'une sauvegarde pour pousser une charge utile bash - BACKDOOR
2021-12-15SALTINBANK ADVENT OF CYBER'21 THM [Day 14] : Networking Dev(Insecure)Ops - CI/CD DEVOPS SUPPLY CHAIN
2021-12-13SALTINBANK ADVENT OF CYBER'21 THM [Day 13-2] PARTIE II : Privesc via logiciel BACKUP
2021-12-13SALTINBANK ADVENT OF CYBER'21 THM [Day 13-1] PRIVESC pour les néophytes // LES BASES !
2021-12-12SALTINBANK - LES SCRIPTS NSE [RESEAUX] Comprendre la détection par les HIDS/IPS ..
2021-12-12SALTINBANK ADVENT OF CYBER'21 THM [Day 12] Networking Sharing Without Caring-SHOWMOUNT-MOUNT-UMOUNT
2021-12-11SALTINBANK - RCE "EVASION" & "OBFFUSCATION" Antivirus + UP+2+DATE WINDOWS SERVER MSSQL 2019 !
2021-12-11SALTINBANK ADVENT OF CYBER'21 THM [Day 11] Networking Where Are The Reindeers? MSSQL EXFIL
2021-12-11SALTINBANK ADVENT OF CYBER'21 THM [Day 10] Networking Offensive Is The Best Defence !
2021-12-11SALTINBANK - PENTEST FRAMEWORK [PARTIE FINALE] PRE-ENGAGEMENT : TO DO LIST ...
2021-12-10SALTINBANK - PENTEST FRAMEWORK [PARTIE III] PRE-ENGAGEMENT : Les attaques, les questions ...
2021-12-10SALTINBANK - PENTEST FRAMEWORK [PARTIE II] PRE-ENGAGEMENT : Red Teaming & la gestion du temps ...


Tags:
CTF active directory basic
saltin
saltinbank le saltimbanque
hacker
hacking
KERBEROS
cours d'informatique
local linux enumeration
hacking chaine FR
chaine hacking
Saltinbank Cours CTF
CTF FRANCE
CTF français hack
saltinbank cybersec
incident response
OSINT
LFI
bypass filter
digital forensic analysis
analyse forensique
SQL
internet
Darpanet
arpanet
osint
THM 2021 Advent of cyber 2021 THM
SHELLBAGS WINDOWS userclass.dat
WINDOWS PRIVESC