- PVSM.RU - https://www.pvsm.ru -

Vulnerable Docker VM — виртуалка-головоломка по Docker и pentesting

Vulnerable Docker VM — виртуалка-головоломка по Docker и pentesting - 1

Британская компания NotSoSecure [1], специализирующаяся на penetration testing и ИТ-безопасности в целом, представила головоломку для специалистов по Docker под названием Vulnerable Docker VM.

Подготовленный авторами образ виртуальной машины предназначен для тех, кто «мечтал поиграть с неправильными конфигурациями Docker, превышением привилегий и т.п. в контейнере». Образ на базе Linux-дистрибутива Ubuntu 14.04 доступен для скачивания в формате OVA (запускается, например, в VirtualBox) на странице проекта [2] и лицензирован под GPL (т.е. допускает модификации и дальнейшее распространение на тех же условиях).

У головоломки предусмотрено два режима (или уровня):

  • простой (Easy), для прохождения которого потребуются только знания Docker,
  • сложный (Hard), где для достижения цели необходимы также навыки в области pentesting.

Выбор уровня осуществляется на этапе загрузки операционной системы в GRUB:

Vulnerable Docker VM — виртуалка-головоломка по Docker и pentesting - 2

Суть задания сводится к тому, чтобы обнаружить 3 файла-флага, размещённых «посреди различных машин/систем, доступных для вас» (все флаги присутствуют в обоих режимах задания), и получить root-доступ к хостовой машине. Представленные в образе проблемы в безопасности могут содержаться как в неправильной конфигурации сервисов, так и в традиционных уязвимостях. По словам [3] одного из авторов Vulnerable Docker VM, эти проблемы были найдены в реальных окружениях во время проведения pen testing его компанией.

Никакого приза за прохождение этого квеста не предполагается. Так что… пробуйте just for fun!

Немного помощи…

Авторы образа обещают в скором времени опубликовать подробности по его созданию и сборке (включая Dockerfiles), а пока что отвечают на вопросы пытающихся пройти квест в комментариях на Reddit [4]. Там же могут встретиться подсказки от самих участников.

P.S. Идея этой головоломки пришлась мне по душе ещё и по той причине, что мы уже много лет практикуем нечто похожее в качестве тестового задания при отборе кандидатов… и сложившийся опыт показывает, что fun они действительно получают.

Автор: shurup

Источник [5]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/bezopasnost/263295

Ссылки в тексте:

[1] NotSoSecure: https://www.notsosecure.com/about/

[2] странице проекта: https://www.notsosecure.com/vulnerable-docker-vm/

[3] словам: https://thenewstack.io/want-docker-hacking-challenge-try-vulnerable-vm/

[4] комментариях на Reddit: https://www.reddit.com/r/netsec/comments/6wsn24/damn_vulnerable_docker_vm/

[5] Источник: https://habrahabr.ru/post/337154/