云原生应用的DevOps2(Jenkins渗透场景)
结论
-
Jenkins历史漏洞
-
Jenkins未授权访问
-
登录后命令执行
-
Jenkins代码仓库信息
-
Jenkins服务器建立多台服务器信任连接
-
背景
目前我看到红队人员的现状,不管是什么系统就是拿Shell,拿权限,然后把这台机器当作跳板继续横向其它机器。而Jenkins在内网中是经常能够遇到的,但大多数人不了解Jenkins有什么作用,可以用来做什么,危害有哪些。这一章先介绍CI/CD以及整个流水线大概是如何工作的,为后续CI/CD安全课程打下基础。
CI/CD是什么
产品发布流程:产品设计成型 -> 开发人员开发代码 -> 测试人员测试功能 -> 运维人员发布上线
发布版本的流程一般都是手动部署,需要把代码提交到版本控制器SVN/git上,然后再把SVN上每个人提交的最新模块的代码拉下来,然后编译打包,最后手动上传到Tomcat上。这种方式很繁琐,也会浪费时间,如果有测试环境和生产环境,则效率更低。
最初是瀑布模型,后来是敏捷开发,现在是DevOps,这是现代开发人员构建出色的产品的技术路线。