• Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье:
- Security Control;
- Execute Command on Virtual Machine using Custom Script Extension;
- Execute Commands on Virtual Machine using Run Command;
- Export Disk Through SAS URL;
- Password Hash Sync Abuse;
- Pass the PRT;
- Application proxy abuse;
- Command execution on a VM;
- Abusing dynamic groups;
- Illicit Consent Grant phishing;
- Add credentials to enterprise applications;
- Arm Templates and Deployment History;
- Hybrid identity - Seamless SSO;
- References.
#Azure #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• ZZZPHP ISSESSION adminid Authentication Bypass;
• ZZZPHP parserIfLabel eval PHP Code Injection;
• The Ev1l eva1 Deny list;
• Shopware PHP Object Instantiation;
• XML Parsing;
• Crafting the SimpleXMLElement Object for Object Injection;
• Pivot Primitives;
• Generating a Malicious Phar;
• Technique for POP chain development;
• Type Juggling;
• Time of Check Time of Use (TOCTOU);
• Race Condition;
• Laravel Framework vs laravel.log.
#Php #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• DevSecOps можно рассматривать в качестве апдейта методологии #DevOps: подход подразумевает не расширение классического пайплайна DevOps, а только интеграцию в него методов безопасности. При этом, согласно DevSecOps, к циклу разработки подключаются специалисты по информационной безопасности, которые гарантируют, что:
- Реализуемые решения не противоречат требованиям ИБ и регламентам компании;
- В конфигурации нет уязвимых мест;
- Все компоненты системы имеют актуальные патчи, корректно настроены;
- Разработана эксплуатационная документация в контексте ИБ.
• Согласно практике DevSecOps, о безопасности разработки нужно начинать думать еще на этапе планирования будущего продукта. В противном случае может возникнуть ситуация, когда, например, код написан идеально, но в техническом дизайне не исключена возможность пользователей назначать себе привилегированные права, что полностью нивелирует любые дальнейшие меры безопасности.
• Есть несколько подходов и рекомендаций, определяющих нормы внедрения DevSecOps-принципов в процесс разработки. Одним из базовых фолиантов в этом контексте является DevSecOps Guideline от OWASP — формируемое сообществом руководство, которое поясняет, как правильно выстроить процесс безопасной разработки и выявлять любые проблемы на ранних стадиях их возникновения.
https://github.com/OWASP/DevSecOpsGuideline/
#DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• Язык программирования Java является одним из самых распространенных языков программирования. На нем написано множество сложных приложений как под Linux, так и под Windows. Однако, как и у любого другого языка программирования, у Java есть свои уязвимости.
• Цель этой статьи познакомиться с уязвимостями, типичными для языка программирования Java, а также разобрать практики безопасной разработки.
• Spring Boot Actuators Jolokia reloadByURL JNDI Injection;
• Understanding the Vulnerability;
• Static Vulnerability Analysis;
• Remote Class Loading;
• Deserialization of Untrusted Data;
• Java URI Filter Bypasses and Remote Code Execution;
• startsWith Directory Traversal;
• endsWith Path Parameter Injection;
• Request Forwarding Authentication Bypasses;
• Deserialization of Untrusted Data 102;
• Object Validation;
• java rmi;
• jmx security issues;
• MBean Writing and Control;
• java dynamic proxy;
• Static Proxy;
• Dynamic Proxy;
• Cglib Proxy;
• java reflection mechanism;
• Use cases of common libraries for XML parsing in XXE;
• XXE-DocumentBuilder.
#Java #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
- Cargo Dependency Confusing;
- Unsafe Code Usage;
- Integer Overflow;
- Panics in Rust Code;
- memory leaks;
- Uninitialized memory;
- Foreign Function Interface;
- OOB Read plus;
- race condition to escalate privileges;
- TOCTAU race condition;
- out-of-bounds array access;
- References.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• Code Access Security (CAS);
• AllowPartiallyTrustedCaller attribute (APTCA);
• Distributed Component Object Model (DCOM);
• Timing vulnerabilities with CBC-mode symmetric;
• Race Conditions;
• App Secrets;
• XML Processing;
• Timing attacks;
• ViewState is love;
• Formatter Attacks;
• TemplateParser;
• ObjRefs.
#DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🏰 DevSecOps Security Architecture.
• Honeypot Network and Services in DevSecOps Security Architecture;
• Flume log collection;
• Kafka Knowledge System;
• Zookeeper Knowledge System;
• ElastAlert ES Alarm Tool;
• Elastic Knowledge System;
• Real IP address Detection;
• Nginx configuration log format;
• Container security tools;
• osquery operating system detection and analysis;
• jumpserver open source bastion server;
• wazuh Host Intrusion Detection System;
• Bro Network Security Monitoring;
• GitHub Information Leak Monitoring;
• Application layer denial of service attacks;
• Slowloris;
• Resources.
#DevSecOps
• Honeypot Network and Services in DevSecOps Security Architecture;
• Flume log collection;
• Kafka Knowledge System;
• Zookeeper Knowledge System;
• ElastAlert ES Alarm Tool;
• Elastic Knowledge System;
• Real IP address Detection;
• Nginx configuration log format;
• Container security tools;
• osquery operating system detection and analysis;
• jumpserver open source bastion server;
• wazuh Host Intrusion Detection System;
• Bro Network Security Monitoring;
• GitHub Information Leak Monitoring;
• Application layer denial of service attacks;
• Slowloris;
• Resources.
#DevSecOps
• eBPF – это технология, которая позволяет запускать произвольный код пользователя в рамках ядра. Благодаря ей можно сделать программируемое ядро операционной системы и быстро добавлять туда собственную логику и менять существующую. Раньше (сейчас это, впрочем, тоже работает) это можно было делать с помощью модулей ядра, однако сам процесс был сложен, влек за собой ряд рисков и требовал приличных усилий со стороны разработчиков.
• eBPF расшифровывается как «extended Berkeley Packet Filter». Packet Filter — это лишь одна из его возможностей. Фактически технология умеет гораздо больше, но исторически развивалась она именно с фильтрации пакетов. Сегодня это настоящая event-driven система, которая начинает работать при наступлении определенных событий: когда приходит пакет, происходит какой-то системный вызов или что-то ещё. В остальное время она не работает и лишь ждет наступления того или иного события.
• По ссылкам ниже Вы найдете полезный cheatsheet, который поможет разобраться в работе eBPF и узнать много новой информации:
• eBPF Workflow in DevSecOps;
- Installation;
- Writing eBPF Programs;
- Compiling eBPF Programs;
- Loading and Attaching eBPF Programs;
• Flow Diagram of eBPF in DevSecOps;
• Common Use Cases;
• eBPF Workflow for Identity Management;
- Monitoring Authentication Attempts;
- Auditing Privileged Operations;
- Tracking API Usage;
• Resources.
#eBPF #cheatsheet #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
- Ansible Inventory Structure;
- Ansible Playbook Structure;
- Running the Playbook;
- Ansible Playbook: SSH Audit;
- Linux Kernel Audit;
- Nginx Audit;
- Apache Audit;
- Environment Secret Audit;
- SCM (GitLab) Audit;
- Docker Container Audit;
- Kubernetes Pod Audit;
- Database Audit (MySQL and PostgreSQL);
- Manage AWS Security Group Rules;
- Monitor Critical Files;
- Log Collection and Analysis;
- Firewall Rules Management with iptables;
- Backup and Restore Procedures.
• Дополнительно:
- Ansible – Краткое руководство;
- Мини-курс: Ansible на русском языке;
- Основы Ansible 2.9 для сетевых инженеров;
- Шпаргалка по ansible.
#ansible #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке.
• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.
#Go #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• Least Privilege;
• Secrets Management;
• Encryption of Sensitive Data;
• Compliance as code;
• terraform plan;
• pet Infra;
• Storing Terraform State Securely;
• Malicious Terraform Providers or Modules;
• Securing Terraform Executions with Isolation;
• Protecting Sensitive Variables in Terraform Logs;
• Securing API Keys and Archivist URLs in HCP Terraform;
• Use dynamic credentials;
• Terraform Plan vs Terraform Apply;
• Replace blacklisted provider.
#IaC #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• Secrets in private repositories;
- Scenario: An Attacker Scanning a Private Repository for Secrets;
- Example Commands and Codes;
• User Credentials in CI Pipelines;
- Scenario: An Adversary Exploiting CI Pipeline Credentials;
- Example Commands and Codes;
• Azure Key-Vault Authentication Abuse;
- Azure’s Documentation Overview;
• Practical Implementation: Azure’s Authentication Solution;
- Steps for Compromising Azure Key Vault;
• Azure Key Vault RBAC;
• Ansible Vault Secret;
- Generating a Hash for Cracking;
- Cracking the Hash;
- Decrypting the File;
• Vault-Backend-Migrator;
- Threats;
• Kubernetes Sealed Secrets;
• chamber;
• Vault Secrets Operator;
• Buttercup Weak Password;
• teller manipulate files;
• BlackBox;
• Conclusion;
- Attacker's Next Steps.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании.
• В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent:
• Allowed Repositories;
• Automount Service Account Token for Pod;
• Block Endpoint Edit Default Role;
• Block Services with type LoadBalancer;
• Block NodePort;
• Block Wildcard Ingress;
• Disallow Interactive TTY Containers;
• Step-by-Step Instructions;
• Allow Privilege Escalation in Container;
• Step-by-Step Instructions;
• Privileged Container;
• Read Only Root Filesystem;
• Host Networking Ports;
• App Armor;
• SELinux V2;
• Resources.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• CI Debug Enabled;
• Default permissions used on risky events;
• Github Action from Unverified Creator used;
• If condition always evaluates to true;
• Injection with Arbitrary External Contributor Input;
• Job uses all secrets;
• Unverified Script Execution;
• Arbitrary Code Execution from Untrusted Code Changes;
• Unpinnable CI component used;
• Pull Request Runs on Self-Hosted GitHub Actions Runner;
• Mitigation Strategies;
• Example GitHub Actions Workflow;
• RCE via Git Clone;
• Resources.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• Apply Restrictive File Permissions:
- Incorrect Example;
- Writing Files with Python;
- Correct Example;
- Secure File Creation in Python;
- Verify Ownership and Group;
• Avoid Dangerous File Parsing and Object Serialization Libraries;
• Python Pipes to Avoid Shells;
• Unvalidated URL redirect;
• Validate Certificates on HTTPS Connections to Avoid Man-in-the-Middle Attacks;
• Create, Use, and Remove Temporary Files Securely:
- Python Temporary File Handling;
• Restrict Path Access to Prevent Path Traversal;
• Use Subprocess Securely;
• Parameterize Database Queries:
- SQLAlchemy;
- MySQL;
- PostgreSQL (Psycopg2);
• Protect Sensitive Data in Config Files from Disclosure:
- Consequences;
- Example Log Entries;
• Use Secure Channels for Transmitting Data:
- Clear Example;
- Less Obvious Example;
• Escape User Input to Prevent XSS Attacks;
• Resources.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Attack Scenario: Insecure File Content:
- 2. Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- 3. Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- 4. Reverse Access Control;
• Magic Byte Exploits and Securing File Uploads:
- Magic Bytes Overview;
- Attack Scenario: Magic Byte Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access Control;
- Process of Securing File Uploads;
• Config Overwrite:
- Attack Scenario: Configuration Overwrite and Null Byte Injection;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Reverse Access and Configuration Overwrite;
- Process of Securing File Uploads;
• Insecure Handler:
- Attack Scenario: Insecure Handler Exploit;
- Non-Compliant Code: Insecure File Upload Example;
- Issues with Non-Compliant Code;
- Compliant Code: Secure File Upload Example;
- Security Enhancements in Compliant Code;
- Insecure Handler and Web Shell Exploit;
- Process of Securing File Uploads.
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
• X-Content-Type-Options Header;
• Reflected File Download (RFD);
• CORS Deception;
• Clickjacking;
• XSS (Cross-Site Scripting);
• SSL/TLS Stripping (MITM);
• Cookie Hijacking;
• CSRF (Cross-Site Request Forgery);
• Information Disclosure Attacks;
• Cache-Control Header;
• Content-Disposition Header;
• Cross-Origin Resource Policy (CORP);
• Extra HTTP Header Injection;
• Content-Encoding Header;
• Access-Control-Allow-Origin Header;
• X-Rate-Limit and X-Forwarded Headers;
• X-Content-Type-Options Header;
• XSS and CSRF Protection;
• Content-Security-Policy (CSP).
#devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• MongoDB — это кроссплатформенная документо-ориентированная система управления базами данных. Относясь к категории NoSQL, MongoDB отказывается от традиционной таблично-ориентированной структуры реляционных баз данных в пользу JSON-документов с динамическими схемами, что делает интеграцию данных в приложениях более быстрой и простой.
• Поговорим о защищенности MongoDB. На самом деле MongoDB безопасна в использовании, если вы знаете, что искать и как это настраивать.
• Enumeration:
• Brute Force:
• Disable Unused Network Interfaces;
• Enable Access Control (Authentication);
• Enable SSL/TLS Encryption;
• Disable HTTP Interface;
• Enable Audit Logging:
• Exploiting Default Admin Users;
• Exploiting Misconfigured Role-Based Access Control (RBAC);
• Leveraging File System Access via MongoDB;
• Leveraging MongoDB API and Insecure Bindings;
• Misconfigured Backup Systems.
#MongoDB #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM