Forwarded from Технологический Болт Генона
WebApplicationSecurity.pdf
20.1 MB
Andrew Hoffman. Web Application Security. Exploitation and Countermeasures for Modern Web Applications. 2020.
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/
ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/
FWD: Cloudsec 2020
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.
https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl
#talks #ops
Reducing Our Attack Surface with AppSec Platform
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
Статья про то, как можно построить AppSec платформу на базе open-source и недорогих сервисов AWS, которая автоматически обнаруживает имеющиеся активы, делает легковесное сканирование для выявления рисков, после чего полученные данные поступают на центральную платформу для фильтрации ложных срабатываний и формирования алертов в Slack.
- Amass / Subfinder для поиска активов и отображения поверхности атаки
- Aquatone , Wappalyzer и nmap для захвата скриншота, снятия стека и сканирования портов. Данные собираются в MongoDB.
https://medium.com/ww-tech-blog/reducing-our-attack-surface-with-appsec-platform-4b6717a16709
#tools #aws #ops
FSecureLABS - Leonidas framework
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.
#tools #aws #ops #attack
DevSecOps: Фаззинг исходного кода — Борис Рютин и Павел Князев
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Using SAFe to align cyber security and executive goals in an agile setting
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Forwarded from Технологический Болт Генона
Abusing GitLab Runners
https://frichetten.com/blog/abusing-gitlab-runners/
https://frichetten.com/blog/abusing-gitlab-runners/
DevSecOps for .NET Core.epub
7.9 MB
DevSecOps for .NET Core
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
Еще одна книга в коллекцию "почитать на потом". На этот раз про безопасный DevOps около .NET Core нагрузок. Здесь же вы сможете прочитать про встраивание безопасности в pipeline, deploy на безопасный Docker, Kubernetes и публичные облака.
#literature #dev #ops
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
swordfish-security.ru
Swordfish Security | Консалтинг DevSecOps и AI Security
Помогаем бизнесу строить комплексные платформы безопасной разработки и защищенный AI в соответствии с требованиями регуляторов и индустриальными стандартами
DevSecOps Leadership Forum Online
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
Вторая новость в продолжение этой - 30 июля в 15:30 по МСК пройдет конференция Sonatype при поддержке Swordfish Security "DevSecOps Leadership Forum Online" на русском языке.
15:30 - Вступительное слово Swordfish Security
15:45 - DevSecOps - чего нам не хватает, Сергей Белов, Acronis
16:15 - Соблюдай технику безопасности! Александр Киверин, Ak Bars Digital
17:15 - Разработчики, которые удовлетворены своей работой, пишут более безопасный код, Ирина Тишельман, Sonatype
Также будут выступать коллеги из ВТБ. Их доклад пока не заявлен.
#talks #dev #ops
False Positive: Dependency Check, Dependency Track and Nexus IQ
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.
Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.
Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.
#sca #tools #dev
sooss_2020_final_v2.pdf
9.7 MB
State of Open Source Security Report 2020
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
Кстати об SCA. Оказывается, у Snyk вышел ежгодный отчет State of Open Source
Security Report 2020. Много разных графиков, статистики и рекомендаций. Спасибо @mobile_appsec_world
#report #sca #dev
AWS Lambda Abuse
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Описание того, как минимизировать ущерб от DDoS-атак на AWS Lambdas.
Тезисно:
- Убедиться, что код не зависает на неправильных данных (ReDoS или длинные пейлоады)
- Оповещать о превышении биллинга
- Сoncurrency level для каждой функции
- Использовать SQS в качестве брокера для функции Lambda для обработки нескольких событий одновременно
- Использовать CDN (например, CloudFront) или AWS WAF
- Требовать API ключ для доступа к API Gateway
- Присмотреться к «Token Bucket» моделям
https://luminousmen.com/post/aws-lambda-abuse
#aws #ops #attack
Microservices Security in Action.pdf
21.3 MB
Microservices Security in Action
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Brief content:
- Microservices security landscape
- First steps in securing microservices
- Securing north/south traffic with an API gateway
- Accessing a secured microservice via a single-page application
- Engaging throttling, monitoring, and access control
- Securing east/west traffic with certificates
- Securing east/west traffic with JWT
- Securing east/west traffic over gRPC
- Securing reactive microservices
- Conquering container security with Docker
- Securing microservices on Kubernetes
- Securing microservices with Istio service mesh
- Secure coding practices and automation
#literature #k8s #docker #ops
Forwarded from CatOps
Sysdig подготовили 12 рекомендаций по поводу сканирования образов контейнеров.
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
Рассказывают о скане на этапе сборки, так и в реджистри. Ну и немного рекламируют свою платформу
#kubernetes #security
“There’s something truly special happening in the static analysis world”
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev
Daniel Cuthbert, соавтор OWASP ASVS, запустил трэд в твиттере, который начинается со слов о том, что современные SAST тяжелые, монолитные и весьма неуклюжие для встраивания в CI/CD за такую большую стоимость. По его мнению, чтобы "не тратить сотни тысяч на динозавров" стоит обратить внимание на LGTM и Semgrep, которые по его словам стали частью друг друга (подтверждению этому я не нашел). Далее он приводит несколько примеров использования Semgrep в проектах.
LGTM - облачная платформа для сканирования кода в GitHub от компании Semmle, которая в конце того года стала частью GitHub. Semmle также являются автором CodeQL, применение которого было анонисировано GitHub на своей онлайн-конференции Satellite.
Semgrep - CLI-инструмент для выполнения статического анализа за счет самописных правил. Semgrep совмещает в себе grep + Abstract Syntax Tree (AST) + dataflow, что делает его довольно удобным для поиска. К Semgrep есть также интерактивный редактор и встроенные правила от OWASP. Вот также статья про использование Semgrep.
#tools #sast #dev
Telegram
DevSecOps Wine
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации…
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации…
GitHub Public Roadmap
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Кстати, еще немного про GitHub. Недавно они опубликовали свой Roadmap в открытый доступ, с которым вы уже можете ознакомиться. По ссылке можно увидеть то, что относится к security.
https://github.com/github/roadmap/projects/1?card_filter_query=label%3A%22security+%26+compliance%22
#news #dev
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops