آیا داشتن یک خوشه در معرض کافی است تا در برابر IngressnightMare آسیب پذیر باشد؟ در واقع بستگی دارد.
https://www.youtube.com/watch؟v=Thl73Jtzzdm
بنابراین چه چیزی شما را آسیب پذیر می کند و مهمتر از همه ، ابتدا چه چیزی را برای patcher؟
هنگامی که نقص IngressnightMare منتشر شد ، من در ابتدا فکر کردم که برای دسترسی به یک نقطه پایانی HTTP در پشت Nginx در Kubernetes کافی است تا خطر حمله را داشته باشد. اما در واقع دقیقاً نیست.
این پیچیده تر است اما مهمتر از همه یک نقص مدرن است ، به این معنا که به معنای کانال چندین مشکل است که به نظر نمی رسد که یک به یک جدی گرفته شود.
مراقب باشید من نگفتم که هیچ کاری نباید انجام شود! مهمتر از همه ، من می خواهم که شما این تقصیر را درک کنید تا بتوانید آن را به طور مؤثر اصلاح کنید.
مثل همیشه ، می توانید نمونه ها را بارگیری کرده و در خانه تست کنید تا بهتر نحوه عملکرد آن را بفهمید.
– فصل ها –
00:00 مقدمه
00:17 مثال با K3s
04:05 کنترل کننده ورود مرموز
08:56 کنترل کننده پذیرش ، فراموش شده در API
15:19 مشکل Nginx پس از آن چیست؟
22:51 تزریق برای اجرای کد
28:47 یک کتابفروشی برای بارگذاری وجود دارد …
33:54 راه حل برای خوب
وامها:
مقاله Faille: https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilités
در K3S آشکار می شود (ما هرگز خسته نمی شویم): https://docs.k3s.io/installation/packged-omponsents
vagrant: https://developer.hashicorp.com/vagrant
کنترل کننده Ingress Nginx: https://docs.nginx.com/nginx-ingress-controller/
doc nginx du paramètre client_body_in_file_only: https://nginx.org/en/docs/http/ngx_http_core_module.html#client_body_in_file_only_only_only
