👨‍💻 Attacking APIs \ Атаки на API.

• Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.

• По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки.

➡️ https://blog.devsecopsguides.com/attacking-apis

#devsecops

👩‍💻 Attacking Android.

🟢Объемное руководство, которое описывает различные методы компрометации Android устройств.

🟢ContentProvider Management in Android Applications;
🟢Protecting Exported Services with Strong Permissions in Android;
🟢Protecting Against Directory Traversal Vulnerabilities in Android;
🟢Preventing Unauthorized Access to Sensitive Activities in Android;
🟢Avoid Storing Sensitive Information on External Storage (SD Card) Without Encryption;
🟢Logging Sensitive Information in Android;
🟢Securing Sensitive Data in Android;
🟢Cache;
🟢Do not use world readable or writeable to share files between apps;
🟢Do not broadcast sensitive information using an implicit intent;
🟢Do not allow WebView to access sensitive local resource through file scheme
🟢WebView Security Concerns;
🟢Do not provide addJavascriptInterface method access in a WebView which could contain untrusted content. (API level JELLY_BEAN or below)Noncompliant Code Example;
🟢Enable serialization compatibility during class evolution;
🟢Do not deviate from the proper signatures of serialization methods;
🟢Exclude unsanitized user input from format strings;
🟢Sanitize untrusted data included in a regular expression;
🟢Define wrappers around native methods;
🟢Do not allow exceptions to expose sensitive information;
🟢Do not encode noncharacter data as a string;
🟢Do not release apps that are debuggable;
🟢Consider privacy concerns when using Geolocation API;
🟢Properly verify server certificate on SSL/TLS;
🟢Specify permissions when creating files via the NDK.

#Android #DevSecOps

🌩 Attacking AWS.

• В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники.

• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.

#devsecops #aws

👩‍💻 Attacking Azure.

• Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье:

- Security Control;
- Execute Command on Virtual Machine using Custom Script Extension;
- Execute Commands on Virtual Machine using Run Command;
- Export Disk Through SAS URL;
- Password Hash Sync Abuse;
- Pass the PRT;
- Application proxy abuse;
- Command execution on a VM;
- Abusing dynamic groups;
- Illicit Consent Grant phishing;
- Add credentials to enterprise applications;
- Arm Templates and Deployment History;
- Hybrid identity - Seamless SSO;
- References.

#Azure #devsecops

👩‍💻 Attacking NodeJS Application.

- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.

#devsecops

👩‍💻 Attacking PHP.

• ZZZPHP ISSESSION adminid Authentication Bypass;
• ZZZPHP parserIfLabel eval PHP Code Injection;
• The Ev1l eva1 Deny list;
• Shopware PHP Object Instantiation;
• XML Parsing;
• Crafting the SimpleXMLElement Object for Object Injection;
• Pivot Primitives;
• Generating a Malicious Phar;
• Technique for POP chain development;
• Type Juggling;
• Time of Check Time of Use (TOCTOU);
• Race Condition;
• Laravel Framework vs laravel.log.

#Php #devsecops

👨‍💻 OWASP DevSecOps Guideline.

• DevSecOps можно рассматривать в качестве апдейта методологии #DevOps: подход подразумевает не расширение классического пайплайна DevOps, а только интеграцию в него методов безопасности. При этом, согласно DevSecOps, к циклу разработки подключаются специалисты по информационной безопасности, которые гарантируют, что:

- Реализуемые решения не противоречат требованиям ИБ и регламентам компании;
- В конфигурации нет уязвимых мест;
- Все компоненты системы имеют актуальные патчи, корректно настроены;
- Разработана эксплуатационная документация в контексте ИБ.

• Согласно практике DevSecOps, о безопасности разработки нужно начинать думать еще на этапе планирования будущего продукта. В противном случае может возникнуть ситуация, когда, например, код написан идеально, но в техническом дизайне не исключена возможность пользователей назначать себе привилегированные права, что полностью нивелирует любые дальнейшие меры безопасности.

• Есть несколько подходов и рекомендаций, определяющих нормы внедрения DevSecOps-принципов в процесс разработки. Одним из базовых фолиантов в этом контексте является DevSecOps Guideline от OWASP — формируемое сообществом руководство, которое поясняет, как правильно выстроить процесс безопасной разработки и выявлять любые проблемы на ранних стадиях их возникновения.

https://github.com/OWASP/DevSecOpsGuideline/

#DevSecOps

👩‍💻 Attacking Java.

• Язык программирования Java является одним из самых распространенных языков программирования. На нем написано множество сложных приложений как под Linux, так и под Windows. Однако, как и у любого другого языка программирования, у Java есть свои уязвимости.

• Цель этой статьи познакомиться с уязвимостями, типичными для языка программирования Java, а также разобрать практики безопасной разработки.

• Spring Boot Actuators Jolokia reloadByURL JNDI Injection;
• Understanding the Vulnerability;
• Static Vulnerability Analysis;
• Remote Class Loading;
• Deserialization of Untrusted Data;
• Java URI Filter Bypasses and Remote Code Execution;
• startsWith Directory Traversal;
• endsWith Path Parameter Injection;
• Request Forwarding Authentication Bypasses;
• Deserialization of Untrusted Data 102;
• Object Validation;
• java rmi;
• jmx security issues;
• MBean Writing and Control;
• java dynamic proxy;
• Static Proxy;
• Dynamic Proxy;
• Cglib Proxy;
• java reflection mechanism;
• Use cases of common libraries for XML parsing in XXE;
• XXE-DocumentBuilder.

#Java #devsecops

👩‍💻 Attacking Rust.

- Cargo Dependency Confusing;
- Unsafe Code Usage;
- Integer Overflow;
- Panics in Rust Code;
- memory leaks;
- Uninitialized memory;
- Foreign Function Interface;
- OOB Read plus;
- race condition to escalate privileges;
- TOCTAU race condition;
- out-of-bounds array access;
- References.

#devsecops

👨‍💻 Attacking .NET

• Code Access Security (CAS);
• AllowPartiallyTrustedCaller attribute (APTCA);
• Distributed Component Object Model (DCOM);
• Timing vulnerabilities with CBC-mode symmetric;
• Race Conditions;
• App Secrets;
• XML Processing;
• Timing attacks;
• ViewState is love;
• Formatter Attacks;
• TemplateParser;
• ObjRefs.

#DevSecOps

🐝 eBPF cheatsheet.

• eBPF – это технология, которая позволяет запускать произвольный код пользователя в рамках ядра. Благодаря ей можно сделать программируемое ядро операционной системы и быстро добавлять туда собственную логику и менять существующую. Раньше (сейчас это, впрочем, тоже работает) это можно было делать с помощью модулей ядра, однако сам процесс был сложен, влек за собой ряд рисков и требовал приличных усилий со стороны разработчиков.

• eBPF расшифровывается как «extended Berkeley Packet Filter». Packet Filter — это лишь одна из его возможностей. Фактически технология умеет гораздо больше, но исторически развивалась она именно с фильтрации пакетов. Сегодня это настоящая event-driven система, которая начинает работать при наступлении определенных событий: когда приходит пакет, происходит какой-то системный вызов или что-то ещё. В остальное время она не работает и лишь ждет наступления того или иного события.

• По ссылкам ниже Вы найдете полезный cheatsheet, который поможет разобраться в работе eBPF и узнать много новой информации:

• eBPF Workflow in DevSecOps;
- Installation;
- Writing eBPF Programs;
- Compiling eBPF Programs;
- Loading and Attaching eBPF Programs;
• Flow Diagram of eBPF in DevSecOps;
• Common Use Cases;
• eBPF Workflow for Identity Management;
- Monitoring Authentication Attempts;
- Auditing Privileged Operations;
- Tracking API Usage;
• Resources.

#eBPF #cheatsheet #DevSecOps

👩‍💻 Ansible Playbooks.

- Ansible Inventory Structure;
- Ansible Playbook Structure;
- Running the Playbook;
- Ansible Playbook: SSH Audit;
- Linux Kernel Audit;
- Nginx Audit;
- Apache Audit;
- Environment Secret Audit;
- SCM (GitLab) Audit;
- Docker Container Audit;
- Kubernetes Pod Audit;
- Database Audit (MySQL and PostgreSQL);
- Manage AWS Security Group Rules;
- Monitor Critical Files;
- Log Collection and Analysis;
- Firewall Rules Management with iptables;
- Backup and Restore Procedures.

• Дополнительно:

- Ansible – Краткое руководство;
- Мини-курс: Ansible на русском языке;
- Основы Ansible 2.9 для сетевых инженеров;
- Шпаргалка по ansible.

#ansible #DevSecOps

👩‍💻 Attacking Golang.

• В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке.

• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.

#Go #devsecops

👨‍💻 Attacking IaC.

• Least Privilege;
• Secrets Management;
• Encryption of Sensitive Data;
• Compliance as code;
• terraform plan;
• pet Infra;
• Storing Terraform State Securely;
• Malicious Terraform Providers or Modules;
• Securing Terraform Executions with Isolation;
• Protecting Sensitive Variables in Terraform Logs;
• Securing API Keys and Archivist URLs in HCP Terraform;
• Use dynamic credentials;
• Terraform Plan vs Terraform Apply;
• Replace blacklisted provider.

#IaC #DevSecOps