侵入テストとITセキュリティ全般を専門とする英国企業NotSoSecureは 、Vulnerable Docker VMと呼ばれるDocker専門家向けのパズルを提示しました。
作成者が作成した仮想マシンイメージは、「不適切なDocker構成、特権の乱用などで遊ぶことを夢見ていた人向けです。 コンテナ内。」 LinuxディストリビューションUbuntu 14.04に基づくイメージは、プロジェクトページでOVA形式(VirtualBoxなどで起動)でダウンロードでき、GPLの下でライセンスされています(つまり、同じ条件下で修正してさらに配布できます)。
パズルには2つのモード(またはレベル)があります。
- 簡単 、その通過にはDockerの知識のみが必要になりますが、
- ハード 、目標を達成するためにペンテストのスキルも必要な場合。
レベルの選択は、GRUBにオペレーティングシステムをロードする段階で実行されます。
タスクの本質は、「使用可能なさまざまなマシン/システムの中間」に配置された3つのフラグファイルを検出し(すべてのフラグが両方のタスクモードに存在する)、ホストマシンへのルートアクセスを取得することです。 イメージに示されているセキュリティ問題は、サービスの不適切な構成と従来の脆弱性の両方に含まれている可能性があります。 Vulnerable Docker VMの作成者の1人によると 、これらの問題は、彼の会社によるペンテスト中に実際の環境で発見されました。
このクエストを完了するための賞品は期待されていません。 だから...楽しみのためだけに試してください!
少し助け...
PSこのパズルのアイデアは、長年にわたって候補者を選択する際のテストタスクと同様のことを実践してきたという理由で気に入っています...そして経験から、彼らは本当に楽しいことがわかりました。