GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
Forwarded from Mobile AppSec World
Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум 😄
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Кстати автор @mobile_appsec_world является также создателем проекта Stingray, который занял 4 место в Cybersecurity Challenge 2020.
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
OWASP - Component Analysis
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Security_Automation_with_Ansible_2_Leverage_Ansible_2_to_automate.pdf
17.2 MB
Securing Automation with Ansible 2
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Introduction to GKE Kubelet TLS Bootstrap Privilege Escalation
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
Backend United #6: Табаско — разработчики о безопасности
Идет с 18:00. Круто видеть такое в русскоговорящем комьюнити, подключаемся :)
[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако
https://youtu.be/dsJN9J1rV6o
#talks #dev #ops
Идет с 18:00. Круто видеть такое в русскоговорящем комьюнити, подключаемся :)
[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако
https://youtu.be/dsJN9J1rV6o
#talks #dev #ops
YouTube
Backend United #6: Табаско | Разработчики о безопасности
На митапе Backend United #6 мы говорили об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые ведут к проблемам с секьюрностью:
7:00 — 44:55 | Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев…
7:00 — 44:55 | Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев…
Introducing Piranha: An Open Source Tool to Automatically Delete Stale Code
Piranha - open-source инструмент от Uber для автоматического рефакторинга кода. Рефакторинг происходит за счет меток, проставляемых разработчиками в коде. Удаление кода, окруженного специальной меткой, позволяет избавиться от устаревшего, неиспользуемого и временного участка кода. Кроме повышения эффективности разработчиков, сокращения времени сборки и размера бинаря, инструмент позволяет увеличить безопасность кода приложения. На текущий момент поддерживается Java, Objective C, Swift.
О том, как Uber применил Piranha для своих мобильных приложений
Исследования и академические выводы об инструменте
6-и минутный ролик
#tools #mobile #dev
Piranha - open-source инструмент от Uber для автоматического рефакторинга кода. Рефакторинг происходит за счет меток, проставляемых разработчиками в коде. Удаление кода, окруженного специальной меткой, позволяет избавиться от устаревшего, неиспользуемого и временного участка кода. Кроме повышения эффективности разработчиков, сокращения времени сборки и размера бинаря, инструмент позволяет увеличить безопасность кода приложения. На текущий момент поддерживается Java, Objective C, Swift.
О том, как Uber применил Piranha для своих мобильных приложений
Исследования и академические выводы об инструменте
6-и минутный ролик
#tools #mobile #dev
Forwarded from k8s (in)security (D1g1)
Kubernetes опубликовал "Pod Security Standards", где подробно объясняет какие настройки, когда, где и как использовать в Pod Security Policy. Для этого они все политики разделили на 3 типа:
- Privileged - неограниченная политика, предоставляющая большую свободу, позволяет проводить хорошо известные поднятия привилегий.
- Baseline/Default - минимально закручиваем гайки чтобы предотвратить хорошо известные поднятия привилегий.
- Restricted - максимально закручиваем гайки.
- Privileged - неограниченная политика, предоставляющая большую свободу, позволяет проводить хорошо известные поднятия привилегий.
- Baseline/Default - минимально закручиваем гайки чтобы предотвратить хорошо известные поднятия привилегий.
- Restricted - максимально закручиваем гайки.
Understanding API Security, Justin Richer and Antonio Sanso
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
OPA Image Scanner admission controller
OPA Image Scanner совмещает Sysdig Secure image scanner c языком Open Policy Agent, что позволяет задавать более сложные политики для приема образов в кластер, чем просто использование сканирования образов на базе информации о реестре, имени образа и тега. Например, всегда допускать развертывание образов в определенных пространствах имен ("Dev").
Про Sysdig OPA Image Scanner в блоге Sysdig
#tools #k8s #docker #ops #opa
OPA Image Scanner совмещает Sysdig Secure image scanner c языком Open Policy Agent, что позволяет задавать более сложные политики для приема образов в кластер, чем просто использование сканирования образов на базе информации о реестре, имени образа и тега. Например, всегда допускать развертывание образов в определенных пространствах имен ("Dev").
Про Sysdig OPA Image Scanner в блоге Sysdig
#tools #k8s #docker #ops #opa
Validating Kubernetes YAML for best practice and policies
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
DAST operator
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev
What Modern CI/CD Should Look Like
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
В середине июня John Kinsella написал статью "Insecure by Default: Kubernetes CICD Reference Diagrams". В ней он расписал несколько пунктов, касающихся проверки безопасности, которых нет на картинках в гугле по запросу "kuberntes cicd". Отдельный кирпич был брошен в облачных провайдеров, которые не упоминают о безопасности, в том время как клиенты обращаются к их статьям за рекомендациями. Получив огромное количество запросов "ну тогда покажи как надо", John выпустил статью "What Modern CI/CD Should Look Like", в которой постарался изложить свое видение безопасного пайплайна для AWS, Azure и GCP ( John, кстати, вице-президент по Container Security в Qualys и выступает на конференциях Infosec World)
#aws #azure #gcp #k8s #dev #ops
Tools for Cloud Examination
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
Thomas Chopitea, Incident responder в Google, рассказывает про опыт расследования инцидентов и реагирования на них в облаке, а также делится некоторыми полезными инструментами от Google (и не только). Среди них Turbnia, Timesketch, GiftStick.
Видео: Tools for Cloud Examination - Thomas Chopitea
Слайды: RandoriSec-Friends-Tools_for_Cloud_Examination_Thomas_Chopitea.pdf
#tools #gcp #ops
OWASP Software Component Verification Standard (SCVS)
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
Forwarded from Технологический Болт Генона
WebApplicationSecurity.pdf
20.1 MB
Andrew Hoffman. Web Application Security. Exploitation and Countermeasures for Modern Web Applications. 2020.
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/