Container Security Checklist:
From the image to the workload
چک لیست امن سازی کانتینرها
🔹 https://github.com/krol3/container-security-checklist
#DevSecOps #Github
کانال آموزش کامپیوتر
@Engineer_Computer
From the image to the workload
چک لیست امن سازی کانتینرها
🔹 https://github.com/krol3/container-security-checklist
#DevSecOps #Github
کانال آموزش کامپیوتر
@Engineer_Computer
GitHub
GitHub - krol3/container-security-checklist: Checklist for container security - devsecops practices
Checklist for container security - devsecops practices - krol3/container-security-checklist
⭕️ RADAR: How DevSecOps is Revolutionizing Security at Snapp
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@Engineer_Computer
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@Engineer_Computer
👍1
⭕️Red team: Journey from RCE to have total control of Cloud Infrastructure
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@Engineer_Computer
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@Engineer_Computer
Quang Vo
Red team: Journey from RCE to have total control of cloud infrastructure
Journey from gaining RCE in a container to Cluster Admin and have completely control of company’s cloud infrastructure
👍1
DevSecOps Engineer
DC-Washington, ECS is seeking a DevSecOps Engineer to work in our Washington, DC office. Job Description: ECS is a rapidly growing information security and information technology company in Washington, DC. We are looking to hire a DevSecOps Engineer Team Lead to support a full range of cyber security services on a long-term contract in Washington DC. The position is full time/permanent and will support a US Gove
https://jobview.monster.com/DevSecOps-Engineer-Job-Washington-DC-US-262741778.aspx
#US #DevSecOps Engineer
@Engineer_Computer
DC-Washington, ECS is seeking a DevSecOps Engineer to work in our Washington, DC office. Job Description: ECS is a rapidly growing information security and information technology company in Washington, DC. We are looking to hire a DevSecOps Engineer Team Lead to support a full range of cyber security services on a long-term contract in Washington DC. The position is full time/permanent and will support a US Gove
https://jobview.monster.com/DevSecOps-Engineer-Job-Washington-DC-US-262741778.aspx
#US #DevSecOps Engineer
@Engineer_Computer
❤1