security-testing

This homelab has six primary attack layers. See references/attack-surface.md for the full inventory of known weaknesses per layer.

| Network | Cilium default-deny, profile CCNPs | Prometheus scrape baseline (any port), escape hatch window, intra-namespace freedom | | Gateway | Coraza WAF, Istio Gateway API | WAF FAILOPEN, PL1 bypass, gateway allowedRoutes.from: All |

| Authentication | OAuth2-Proxy, Authelia 2FA, app-native | 7-day cookie, brute force window, Vaultwarden admin redirect bypass | | Authorization | PodSecurity admission, RBAC | Minimal custom RBAC, homepage ClusterRole reads cluster | | Container | Security contexts, Istio mTLS | Gluetun root+NETADMIN+no mesh, Cilium agent SYSADMIN |

منهجية اختبار الأمان العدائي لمختبر Kubernetes المنزلي. يغطي سياسة الشبكة التهرب وتجاوز المصادقة وتصعيد الامتيازات وسرقة بيانات الاعتماد وهجمات سلسلة التوريد. يُستخدم عندما: (1) اختبار الفريق الأحمر للمختبر المنزلي، (2) التحقق من صحة تطبيق سياسة الشبكة، (3) اختبار تجاوز WAF على البوابة الخارجية، (4) فحص طبقات المصادقة، (5) تقييم مسارات هروب الحاويات، (6) تدقيق حسابات RBAC والخدمة، (7) اختبار أمان سلسلة التوريد لخط أنابيب ترويج OCI. المشغلات: "اختبار الأمان"، "الفريق الأحمر"، "اختبار الاختراق"، "اختبار الاختراق"، "سطح الهجوم"، "تجاوز WAF"، "التهرب من سياسة الشبكة"، "تصعيد الامتيازات"، "الحركة الجانبية"، "سرقة بيانات الاعتماد"، "الهروب من الحاوية"، "تدقيق RBAC"، "تدقيق الأمان"، "الضعف" المصدر: ionfury/homelab.