Kdigger 即 "Kubernetes digger" 的简称,是用于 Kubernetes 渗透测试的上下文发现工具。
此工具主要用来加速渗透测试过程,可以通过调用mount命令或执行ls /dev列出 dev 中存在的所有设备。
示例
$ kdigger dig dev
### DEVICES ###
Comment: 16 devices are available.
+-------------+-------+----------------------+-----------------+
| MODE | ISDIR | MODTIME | NAME |
+-------------+-------+----------------------+-----------------+
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | core |
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | fd |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | full |
| dtrwxrwxrwx | true | 2021-10-11T07:31:54Z | mqueue |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | null |
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | ptmx |
| drwxr-xr-x | true | 2021-10-11T07:32:14Z | pts |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | random |
| dtrwxrwxrwx | true | 2021-10-11T07:31:54Z | shm |
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | stderr |
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | stdin |
| Lrwxrwxrwx | false | 2021-10-11T07:32:14Z | stdout |
| -rw-rw-rw- | false | 2021-10-11T07:32:14Z | termination-log |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | tty |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | urandom |
| Dcrw-rw-rw- | false | 2021-10-11T07:32:14Z | zero |
+-------------+-------+----------------------+-----------------+
$ kdigger dig authorization
### AUTHORIZATION ###
Comment: Checking current context/token permissions in the "default" namespace.
+---------------------------------+-----------------+----------------+----------+
| RESOURCES | NONRESOURCEURLS | RESSOURCENAMES | VERBS |
+---------------------------------+-----------------+----------------+----------+
| selfsubjectaccessreviews.author | [] | [] | [create] |
| ization.k8s.io | | | |
| selfsubjectrulesreviews.authori | [] | [] | [create] |
| zation.k8s.io | | | |
| | [/api/*] | [] | [get] |
| | [/api] | [] | [get] |
| | [/apis/*] | [] | [get] |
| | [/apis] | [] | [get] |
| | [/healthz] | [] | [get] |
| | [/healthz] | [] | [get] |
| | [/livez] | [] | [get] |
| | [/livez] | [] | [get] |
| | [/openapi/*] | [] | [get] |
| | [/openapi] | [] | [get] |
| | [/readyz] | [] | [get] |
| | [/readyz] | [] | [get] |
| | [/version/] | [] | [get] |
| | [/version/] | [] | [get] |
| | [/version] | [] | [get] |
| | [/version] | [] | [get] |
| apiservices | [] | [] | [list] |
| namespaces | [] | [] | [list] |
| apiservices.apiregistration.k8s | [] | [] | [list] |
| .io | | | |
| namespaces.apiregistration.k8s. | [] | [] | [list] |
| io | | | |
+---------------------------------+-----------------+----------------+----------+-
问题内容: 我们有成百上千个使用asp,.net和java开发的网站,并且我们为外部机构付出了很多钱,以对我们的网站进行渗透测试以检查安全漏洞。是否有任何(好的)软件(收费或免费)可以做到这一点? 或..有什么技术文章可以帮助我开发此工具? 问题答案: 使用针对Web应用程序的自动测试工具,可以有两个不同的方向。 首先,有 商用Web扫描仪 ,其中HP WebInspect和Rational Ap
-
以下部分介绍了如何在Web应用程序测试中使用Burp Suite的基本知识。有关Web应用程序测试的一般技术和方法的更多信息,请参阅Web应用程序黑客手册,该文档由Burp Suite的创建者共同撰写。 你也可以在Burp Suite 支持中心查看 使用 Burp Suite 使用Burp的基础知识 如果需要关于安装、启动、开始一个工程、配置显示选项等信息,请参阅 开始入门. 如果需要使用Burp
-
Kali Linux工具策略 我们知道很多的工具或脚本都能做同样的工作.有的比较好用,有的是喜好问题.为此,保持渗透测试软件源的更新和可用是一项极具挑战性的任务.Kali开发组使用如下检验标准来判断一个工具是否被包含在我们的发行版. 在渗透测试环境下该工具是否 可用/实用? 该工具的功能是否与别的工具重复? 该工具是否允许自由地重新分发? 该工具的依赖关系如何?能否在”独立”环境下运行? 根据这些
-
网络渗透测试是将在本节中介绍的第一个渗透测试。大多数系统和计算机都连接到网络。如果设备连接到互联网,这意味着设备已连接到网络,因为互联网是一个非常大的网络。因此,我们需要知道设备如何在网络中相互交互,以及网络如何工作。 网络渗透测试分为3个小部分: 预连接攻击:在本节中,我们将了解在连接到网络之前可以执行的所有攻击。 获得攻击:在本节中,我们将了解如何破解Wi-Fi密钥并获取Wi-Fi网络,无论使
-
我正在使用codeigniter 3.1。9 我已启用CSRF保护,并将设置为true。它工作正常,每次Post请求时令牌都会重新生成,验证也可以工作。除此之外,我还将cookie设置为仅限同一站点的严格连接。 然后我向安全团队提交渗透测试评估,他们拒绝了我的工作,因为csrf攻击漏洞。 他们的论点是,他们更改了cookie令牌并发布参数,然后执行攻击。 他们的回答:CSRF令牌未安全实现。攻击者
-
https://github.com/h4m5t/Sec-Interview 1、include、include_once、require、 require_once区别 参考答案: 1、require()和require_once()函数: (1)require()函数引入文件不存在时,将立即退出程序,不再向下执行。 (2)require()函数当文件已经存在时,则还是会重复的引入;requi
-
Android 是当今最流行的智能手机操作系统之一。随着人气的增加,它存在很多安全风险,这些风险不可避免地被引入到应用程序中,使得用户本身受到威胁。
-
1. 就安全方面,比如学习方法啊,学习经验啊简单介绍一下自己 2. 我看你是去做过防守是吧,简单介绍一下自己的收获 3. 像注入的话你是了解的 mysql、sqlserver、oracel还是都了解一些? 4. mysql的报错注入有哪些知道么?简单介绍一下 5. 文件上传的一些常见绕过方法了解么? 6. 文件包含的一些利用方法呢? 7. java常见的一些高危函数自己有总结么? 8. runti