In questo post, abbiamo trattato l'enumerazione delle vulnerabilità in DeVOps tra cui le autorizzazioni dei file non sicure. Questo faceva parte TryHackMe Avvento di Cyber 3 Giorno 14.
In DevOps, CI/CD sono due termini che ricorrono spesso quando si parla di sviluppo software e DevOps. Le loro definizioni sono piuttosto semplici.
CI: L'integrazione continua è il processo in cui il codice sorgente del software viene conservato in un repository centrale (come GitHub). Tutte le modifiche vengono archiviate in questo repository centrale per evitare di ritrovarsi con versioni diverse dello stesso codice.
CD: la distribuzione continua è il passaggio successivo (a volte integrale) del modello di integrazione continua in cui il codice viene distribuito automaticamente negli ambienti di test, pre-produzione o produzione. CD viene talvolta utilizzato come acronimo di “Continuous Deployment”. Se ritieni che i termini sopra indicati non sembrino avere limiti chiari, hai ragione. CI, CD e l'altro CD fanno tutti parte delle best practice DevOps che mirano a rendere la consegna del codice più rapida e affidabile.
Ottieni le note sul certificato OSCP
CI/CD dovrebbe essere considerato come un insieme di pratiche messe in atto per consentire ai team di sviluppo di apportare modifiche, testare il codice e distribuire l'applicazione in modo più affidabile. Dovremmo pensare a CI/CD come a un processo o ciclo continuo che include fasi del processo di sviluppo del software.
L'approccio di integrazione CI/CD sembra essere un modo efficace per mitigare i rischi che possono derivare dall'aggregazione manuale delle modifiche apportate al codice, dal test manuale delle stesse e dalla distribuzione manuale della versione aggiornata dell'applicazione. Tuttavia, alcuni rischi associati al processo CI/CD dovrebbero essere presi in considerazione quando si affronta tale integrazione. Come penetration tester, uno dei nostri obiettivi sarebbe quello di scoprire i punti deboli nel processo di automazione. Questi possono variare dalle autorizzazioni dei file agli errori di configurazione commessi durante l'installazione di qualsiasi software di automazione CI/CD. I team DevOps utilizzano in genere software come Jenkins, GitLab, Bamboo, AWS CodePipeline, ecc., per automatizzare i passaggi CI/CD riepilogati sopra.
Risposte alle attività
Quante pagine ha trovato la scansione dirb con il suo elenco di parole predefinito?
4
Quanti script vedi nella cartella /home/thegrinch/scripts?
4
Quali sono i cinque caratteri che seguono $6$G nell'hash della password di pepper?
ZUP42
Qual è il contenuto del file flag.txt sul desktop dell'utente del Grinch?
DI3H4rdIsTheBestX-masMovie!
Videoprocedura dettagliata
