FuzzBench: Fuzzer Benchmarking As a Service
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev
FuzzBench - автоматизированный бесплатный сервис от команды Google OSS-Fuzz, созданный для оценки работы подключенных фазеров. Чтобы использовать FuzzBench, достаточно интегрировать фаззер, и FuzzBench проведет эксперимент в течение 24 часов со многими испытаниями и реальными тестами. На основе данных этого эксперимента FuzzBench создаст отчет, сравнивающий производительность фаззера с другими, и даст представление о сильных и слабых сторонах каждого фаззера. Это должно позволить исследователям сосредоточить больше своего времени на совершенствовании методов и меньше времени на настройку оценок и работу с существующими фаззерами.
FuzzBench может использовать любой из OSS-Fuzz проектов.
#tools #dast #fuzzing #dev
Automatic API Attack Tool
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
GitHub
GitHub - imperva/automatic-api-attack-tool: Imperva's customizable API attack tool takes an API specification as an input, generates…
Imperva's customizable API attack tool takes an API specification as an input, generates and runs attacks that are based on it as an output. - imperva/automatic-api-attack-tool
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
DevSecOps: Фаззинг исходного кода — Борис Рютин и Павел Князев
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Если не учитывать постоянное напрягающее ощущение от того, что докладчики считывают текст с экрана (тут кому как), доклад весьма интересен.
"С чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки"
Доклад - https://www.youtube.com/watch?v=PbC63weJsDM
Презентация - https://bit.ly/2Nfb3Ep
#tools #fuzzing #dev
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Организация фаззинга исходного кода
Вчера на Habr вышла статья от Digital Security, посвященная фаззинг-тестированию и встраивание ее в CI/CD. По сути это текстовая версия их же доклада, про который я писал ранее. Статья затрагивает определение фаззинга, чем это отличается от статического анализа, как устроена фаззинг-ферма у них, про continious fuzzing от google и почему данная схема подходит не всем.
https://habr.com/ru/company/dsec/blog/517596/
#fuzzing #dev
Вчера на Habr вышла статья от Digital Security, посвященная фаззинг-тестированию и встраивание ее в CI/CD. По сути это текстовая версия их же доклада, про который я писал ранее. Статья затрагивает определение фаззинга, чем это отличается от статического анализа, как устроена фаззинг-ферма у них, про continious fuzzing от google и почему данная схема подходит не всем.
https://habr.com/ru/company/dsec/blog/517596/
#fuzzing #dev
RESTler - first stateful REST API fuzzing tool
RESTler - инструмент от Microsoft, принимающий в качестве входных значений OpenAPI/Swagger спецификацию, а на выходе формирующий набор тестов, направленных на повышение безопасности. Сам же инструмент выполняет и фаззинг. Пока что среди багов находит утечку ресурсов, неавторизованный доступ, наличие ошибок (500), use-after-free, доступность дочерних ресурсов не из родительских.
#fuzzing #dev
RESTler - инструмент от Microsoft, принимающий в качестве входных значений OpenAPI/Swagger спецификацию, а на выходе формирующий набор тестов, направленных на повышение безопасности. Сам же инструмент выполняет и фаззинг. Пока что среди багов находит утечку ресурсов, неавторизованный доступ, наличие ошибок (500), use-after-free, доступность дочерних ресурсов не из родительских.
#fuzzing #dev
GitHub
GitHub - microsoft/restler-fuzzer: RESTler is the first stateful REST API fuzzing tool for automatically testing cloud services…
RESTler is the first stateful REST API fuzzing tool for automatically testing cloud services through their REST APIs and finding security and reliability bugs in these services. - microsoft/restler...