"Безопасность веб-приложений" Эльдар Заитов" - Школа информационной безопасности Яндекс 2018.

Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты

https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO

#web #code #lecture #dev

"Building Web Apps
that Respect a User’s
Privacy and Security" Adam D. Scott

- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса

#literature #web #dev #ops

Csper Builder - Автоматическая генерация Content Security Policy

Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.

#web #tools #dev

Stanford - Web Security

Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.

https://web.stanford.edu/class/cs253/

#web #dev #ops

Automatic API Attack Tool

Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.

#tool #fuzzing #web #dev #ops

InQL Scanner - tool to ease testing of GraphQL

InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.

GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.

InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.

#tool #web #dev #ops #attack

Hacktory

Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.

Сейчас там доступно два курса.

Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.

Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.

Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.

https://hacktory.ai/

#web #practice #dev #attack

OpenRASP - Runtime Application Self-Protection

OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.

#tools #web #ops

Continuous Secure Delivery - Secure code Box

SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.

Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.

#web #tools #ops #dev

Authentication Token Obtain and Replace (ATOR) Burp Plugin

ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.

Подробнее про работу плагина и то, как им пользоваться.

Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):

Список полезных плагинов для BurpSuite

Интеграция Burp Suite в CI/CD (Jenkins)

#tools #dast #web #dev #attack

Understanding API Security, Justin Richer and Antonio Sanso

Неплохая книга по защите API в открытом доступе:

https://www.manning.com/books/understanding-api-security

#literature #web #ops #dev

#literature #web #ops

Awesome DevSecOps

Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.

DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis

А еще есть русская версия Awesome DevSecOps.

#tools #bestpractice #web #fuzzing #sast #dast #dev #ops

Advanced API Security

Еще одна книга по безопасности API в придачу к этой.

Вот также несколько полезных ссылок по OAuth2.0:

Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации

Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0

Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше

OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом

#web #literature #dev #ops

Web Security for Developers

Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.

Особенно полезно будет для AppSec.

#dev #literature #web

OWASP API Security Top 2019 на русском

Подписчик Eugene Rojavski скинул результат собственного перевода OWASP API Security Top 2019, выполненного совместно с его командой (act1on3, keni0k). Перевод уже стал частью официального репо OWASP.

"Несмотря на то, что более обширный Web Application Security Risks Top 10 по прежнему актуален, ввиду специфики API, необходим отдельный список рисков безопасности специфичных для API. Безопасность API фокусируется на стратегиях и решениях, направленных на понимание и предотвращение уникальных уязвимостей и рисков безопасности, связанных с использованием API."

#dev #web #attack

Introduction to OWASP Top 10 2021

OWASP выпустили драфт документа OWASP Top 10 2021!

Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery

Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.

В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.

#web #dev