結論
-
Jenkins歷史漏洞
-
Jenkins未授權訪問
-
登錄后命令執行
-
Jenkins代碼倉庫信息
-
Jenkins服務器建立多臺服務器信任連接
-
背景
目前我看到紅隊人員的現狀,不管是什么系統就是拿Shell,拿權限,然后把這臺機器當作跳板繼續橫向其它機器。而Jenkins在內網中是經常能夠遇到的,但大多數人不了解Jenkins有什么作用,可以用來做什么,危害有哪些。這一章先介紹CI/CD以及整個流水線大概是如何工作的,為后續CI/CD安全課程打下基礎。
CI/CD是什么
產品發布流程:產品設計成型 -> 開發人員開發代碼 -> 測試人員測試功能 -> 運維人員發布上線
發布版本的流程一般都是手動部署,需要把代碼提交到版本控制器SVN/git上,然后再把SVN上每個人提交的最新模塊的代碼拉下來,然后編譯打包,最后手動上傳到Tomcat上。這種方式很繁瑣,也會浪費時間,如果有測試環境和生產環境,則效率更低。
最初是瀑布模型,后來是敏捷開發,現在是DevOps,這是現代開發人員構建出色的產品的技術路線。
)
