Objectifs :

• Avoir accès en lecture ou écriture au système de stockage de l'application

Rappels :

Types de stockage :

• Volume à accès par réseau (NFS...)
• Volume à accès par le file système (block storage...)
• Données accessible en TCP (S3, base de données...)

Moyens pour y parvenir

Cheval de troie (Le client ou l'application nous donne involontairement accès à la base via une de nos ruses)

• Ajout script malicieux dans image docker publique
• Ajout script malicieux dans librairie publique (apt, npm ...)
• Envoie script malicieux dans formulaire de fichier client
• Demander les crédentials par mail / slack au client

Pour se protéger, il faut donc :

Auditer avant de mettre en production :

• Les dépendances installés sur le système d'exploitation
• Les images docker utilisés par les applications
• Les dépendances externes installés (npm, maven ...)