⭕️ RADAR: How DevSecOps is Revolutionizing Security at Snapp
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@Engineer_Computer
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@Engineer_Computer
👍1
⭕️ Dangerous Regular Expressions
تو این پست Vickie Li از خطا های رایج در رجکس میگه و چندتا Best Practice برای رجکس های امن تر مثل اینکه:
- تا جایی که میشه برای چیزهایی مثل یوزرنیم و پسورد و ... خودتون رجکس ننویسید از رجکس های امن توی اینترنت استفاده کنید
- از Defense-in-depth استفاده کنید یعنی فقط به رجکس و اعتبار سنجی اش و ... اطمینان نکنید
- همچنین Fuzzing میتونه از اینکه رجکس شما داره درست کار میکنه یا نه اطمینان بیشتری حاصل کنه.
مطالعه بیشتر:
https://sec.okta.com/articles/2020/07/dangerous-regular-expressions
یه سری منابع هم معرفی شده برای امن تر کردن رجکس هاتون
https://owasp.org/www-community/OWASP_Validation_Regex_Repository
https://regexlib.com/DisplayPatterns.aspx
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html
#regex #security #AppSec
@Engineer_Computer
تو این پست Vickie Li از خطا های رایج در رجکس میگه و چندتا Best Practice برای رجکس های امن تر مثل اینکه:
- تا جایی که میشه برای چیزهایی مثل یوزرنیم و پسورد و ... خودتون رجکس ننویسید از رجکس های امن توی اینترنت استفاده کنید
- از Defense-in-depth استفاده کنید یعنی فقط به رجکس و اعتبار سنجی اش و ... اطمینان نکنید
- همچنین Fuzzing میتونه از اینکه رجکس شما داره درست کار میکنه یا نه اطمینان بیشتری حاصل کنه.
مطالعه بیشتر:
https://sec.okta.com/articles/2020/07/dangerous-regular-expressions
یه سری منابع هم معرفی شده برای امن تر کردن رجکس هاتون
https://owasp.org/www-community/OWASP_Validation_Regex_Repository
https://regexlib.com/DisplayPatterns.aspx
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html
#regex #security #AppSec
@Engineer_Computer
Okta Security
Dangerous Regular Expressions
Photo by Milan De Clercq on UnsplashIn this post, I will ta
👍2😁1
تو پروسه آموزش و یاددادن همیشه کلی چیز برای یادگیری هست✌️🏻
دارم یه اپ Vue آسیب پذیر آماده میکنم برای آموزش XSS in Vue.js بعد متوجه شدم این XSS ای که از طریق javascript scheme تو attribute href رخ میده زمانی که اتریبیوت target برابر blank_ باشه دیگ آسیب پذیر نیست
مثالش تو عکس بالا
#AppSec #XSS #web_security
@Engineer_Computer
دارم یه اپ Vue آسیب پذیر آماده میکنم برای آموزش XSS in Vue.js بعد متوجه شدم این XSS ای که از طریق javascript scheme تو attribute href رخ میده زمانی که اتریبیوت target برابر blank_ باشه دیگ آسیب پذیر نیست
مثالش تو عکس بالا
#AppSec #XSS #web_security
@Engineer_Computer
👍1
🐞 What's security flaws with this code? How to fix it?
نقص امنیتی این کد چیه؟ اصلا نقص امنیتی داره؟ چنتا و به چه صورت؟ نحوه فیکس کردنش به چه صورت هست؟
#AppSec #code_challenge #vulnerable_code #web_security #FastAPI
@Engineer_Computer
نقص امنیتی این کد چیه؟ اصلا نقص امنیتی داره؟ چنتا و به چه صورت؟ نحوه فیکس کردنش به چه صورت هست؟
#AppSec #code_challenge #vulnerable_code #web_security #FastAPI
@Engineer_Computer
Network Security Channel
🐞 What's security flaws with this code? How to fix it? نقص امنیتی این کد چیه؟ اصلا نقص امنیتی داره؟ چنتا و به چه صورت؟ نحوه فیکس کردنش به چه صورت هست؟ #AppSec #code_challenge #vulnerable_code #web_security #FastAPI @Engineer_Computer
Now the answer
مهم ترین آسیب پذیری ای که داشت و اکثرا دوستان هم گفتن Mass Assignment بود که میشد ما با role ای مثل admin برای خودمون account بسازیم که حالا توی fix فیلد های مهم رو صرف نظر از چیزی که کاربر میده ما تغییر میدیم، موضوع بعدی هم Insecure Password Storage بود که حالا پسورد hash میشه.
#AppSec #code_challenge #fixed_code #web_security #FastAPI
@Engineer_Computer
مهم ترین آسیب پذیری ای که داشت و اکثرا دوستان هم گفتن Mass Assignment بود که میشد ما با role ای مثل admin برای خودمون account بسازیم که حالا توی fix فیلد های مهم رو صرف نظر از چیزی که کاربر میده ما تغییر میدیم، موضوع بعدی هم Insecure Password Storage بود که حالا پسورد hash میشه.
#AppSec #code_challenge #fixed_code #web_security #FastAPI
@Engineer_Computer
🐞 What's security flaws with this PHP code? How to exploit and fix it?
نقص امنیتی این کد چیه؟ چطور exploit و fix میشه؟
Code: https://github.com/amir-h-fallahi/code_challenge/blob/main/0x02-PHP/PHP-Vulnerable-Code.php
#AppSec #code_challenge #vulnerable_code #web_security #PHP
@Engineer_Computer
نقص امنیتی این کد چیه؟ چطور exploit و fix میشه؟
Code: https://github.com/amir-h-fallahi/code_challenge/blob/main/0x02-PHP/PHP-Vulnerable-Code.php
#AppSec #code_challenge #vulnerable_code #web_security #PHP
@Engineer_Computer
Common_developer_security_mistakes_in_working_with_IPG_Security.pdf
83.3 KB
💥 Common developer security mistakes in working with IPG
As a security engineer, pentester or developer you should know about common security mistakes in working with IPG that leads to serious security vulnerabilities.
#AppSec #IPG
@Engineer_Computer
As a security engineer, pentester or developer you should know about common security mistakes in working with IPG that leads to serious security vulnerabilities.
#AppSec #IPG
@Engineer_Computer
#استخدام #کارشناس_تست_نفوذ
تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امنسازی Web Application از شما دعوت به همکاری میکند 🛸
مهارتهای تخصصی مورد نیاز:
👾 آشنایی با متدلوژی OWASP (ASVS & WSTG)
👾 تسلط بر حملات Server-side & Client-side
👾 تسلط بر تجزیه و تحلیل آسیبپذیریها و توانایی اجرا و تغییر اکسپلویتها
👾 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …)
👾 تسلط بر گزارشنویسی و ارائه راهکارهای برطرفسازی آسیبپذیری
👾 آشنایی با وب اپلیکیشن فایروالهای متداول و تسلط بر تکنیکهای ارزیابی و دور زدن آنها
👾 داشتن مهارت کار تیمی
مهارتهایی که برخورداری از آنها مزیت محسوب میشود:
⭐️ علاقهمند به اجرای فرآیندهای Red Teaming (آشنا با فریمورک MITRE ATT&CK)
⭐️ سابقه فعالیت در پلتفرمهای داخلی و خارجی باگ بانتی
⭐️ دارا بودن تفکر تحلیلی و علاقهمند به رویارویی با چالشهای فنی تست نفوذ
⭐️ علاقهمند به R&D در حوزه حملات پیشرفته و تحلیل آسیبپذیریها
نیازمندیهای همکاری:
🔶 ۳ تا ۵ سال سابقه تست نفوذ وب
🔶 داشتن کارت پایان خدمت یا معافیت دائمی برای آقایان
🔶 امکان حضور در شرکت (تهران)
برای اطلاع از مزایای همکاری با ابرآمد و ارسال رزومه، از لینک زیر استفاده کنید:
🔗 https://www.abramad.com/jobs/
بخشی از داستان ما باشید 💙
#WebSecurity #PenetrationTesting #OWASP #BurpSuite #VulnerabilityAssessment #ExploitDevelopment #RedTeam #CyberSecurityJobs #BugBounty #AppSec #WAFBypass #SecurityExperts #InfosecCareers #EthicalHacking #SecurityHiring
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تیم امنیت ابرآمد، از متخصصان حوزه تست نفوذ و امنسازی Web Application از شما دعوت به همکاری میکند 🛸
مهارتهای تخصصی مورد نیاز:
👾 آشنایی با متدلوژی OWASP (ASVS & WSTG)
👾 تسلط بر حملات Server-side & Client-side
👾 تسلط بر تجزیه و تحلیل آسیبپذیریها و توانایی اجرا و تغییر اکسپلویتها
👾 تسلط بر کار با ابزارهای تست نفوذ (Burp suite ,nuclei, …)
👾 تسلط بر گزارشنویسی و ارائه راهکارهای برطرفسازی آسیبپذیری
👾 آشنایی با وب اپلیکیشن فایروالهای متداول و تسلط بر تکنیکهای ارزیابی و دور زدن آنها
👾 داشتن مهارت کار تیمی
مهارتهایی که برخورداری از آنها مزیت محسوب میشود:
⭐️ علاقهمند به اجرای فرآیندهای Red Teaming (آشنا با فریمورک MITRE ATT&CK)
⭐️ سابقه فعالیت در پلتفرمهای داخلی و خارجی باگ بانتی
⭐️ دارا بودن تفکر تحلیلی و علاقهمند به رویارویی با چالشهای فنی تست نفوذ
⭐️ علاقهمند به R&D در حوزه حملات پیشرفته و تحلیل آسیبپذیریها
نیازمندیهای همکاری:
🔶 ۳ تا ۵ سال سابقه تست نفوذ وب
🔶 داشتن کارت پایان خدمت یا معافیت دائمی برای آقایان
🔶 امکان حضور در شرکت (تهران)
برای اطلاع از مزایای همکاری با ابرآمد و ارسال رزومه، از لینک زیر استفاده کنید:
🔗 https://www.abramad.com/jobs/
بخشی از داستان ما باشید 💙
#WebSecurity #PenetrationTesting #OWASP #BurpSuite #VulnerabilityAssessment #ExploitDevelopment #RedTeam #CyberSecurityJobs #BugBounty #AppSec #WAFBypass #SecurityExperts #InfosecCareers #EthicalHacking #SecurityHiring
Please open Telegram to view this post
VIEW IN TELEGRAM
ابرآمد
همکاری با ابرآمد - ابرآمد
در این قسمت شما میتوانید با مزایای همکاری با ابرآمد و فرهنگ سازمانی این شرکت آشنا شده و در صورت تمایل رزومه خود را برای ما ارسال نمایید تا در اولین فرصت بررسی...
👍1