Escáner de vulnerabilidad para contenedores de Windows.
Tabla de Contenido
Empezando
git clone https://github.com/saira-h/whalescan
pip install -r requirements.txt
python main.py
Visión General
Whalescan realiza varias comprobaciones de benchmark, así como la comprobación de los CVEs. Esta herramienta puede utilizarse como parte de una revisión de contenedores de Windows en las copias locales de los contenedores, y en el propio host para mejorar la seguridad.
- Comprobación de contenedores
- Comprueba si los contenedores están almacenados en la unidad C:, lo que podría plantear problemas si hay un ataque DoS, llenando la unidad C: y haciendo que el host no responda.
- Comprueba si el contenedor está funcionando como un proceso o hiper-v. El aislamiento hiper-v ofrece una mayor seguridad de los contenedores
- Comprueba si hay alguna actualización pendiente en los contenedores, y si es así, cómo actualizarla.
- Comprobación de imágenes
- Comprueba si se están usando comandos inseguros en el archivo docker, por ejemplo docker ADD en lugar de docker COPY.
- Comprueba si se realiza una verificación de hash en los archivos descargados.
- Comprueba si hay algún paquete vulnerable en el contenedor, y saca la información relevante de CVE
- Comprueba si la versión .NET que se está usando es End Of Life
- Comprueba si el motor de la plataforma está actualizado, y si no, recopila una lista de CVEs para la versión que se está utilizando.
- Comprueba los permisos de los archivos de configuración de docker
- Comprueba si se han asignado dispositivos adicionales a los contenedores
Dark Mode
whalescan (este enlace se abre en una nueva ventana) por saira-h (este enlace se abre en una nueva ventana)
Vulnerability scanner for Windows containers