😎 AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

В 2025 году безопасность приложений перестает быть просто технической необходимостью – она становится стратегическим приоритетом для бизнеса.

С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов угрозы тоже эволюционируют, а традиционные методы защиты не всегда эффективны.

➡️ В новой статье на сайте рассмотрели тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрели практики, которые утратят свою актуальность.

⚙️ Mikrotik centralized backup script

✔️Цель проекта — централизованное управление резервными копиями устройств, работающих на RouterOS (роутеры Mikrotik и другие).

➡️ Некоторые возможности:
💠контроль версий
💠отправка уведомлений в мессенджер Telegram
💠все резервные копии (в форматах .backup и .rsc) архивируются в одном месте
💠возможность адаптации проекта к устройствам любого производителя.

➡️ Как использовать скрипт:
💠Основной скрипт — файл с расширением .sh, его нужно запустить
💠Файл с расширением .py позволяет добавлять в скрипт новые роутеры
💠Файл-пример содержит комментарии, которые помогают понять, как работает скрипт
💠С помощью утилиты cron можно автоматизировать запуск скрипта

▶️Не забывайте следить за выполнением скрипта и проверять созданные резервные копии, чтобы быть уверенными в их полноте и правильном сохранении.

🐙 Перейти на Github

🔨 bash_help

⚙️ Проверьте, уязвим ли сервер к ошибке Shellshock

✔️Shellshock — уязвимость, которая затрагивает GNU Bash начиная с версии 1.14 и ниже 4.3. Эта ошибка затрагивает ОС на базе Unix, включая Linux, BSD и macOS.

▶️Ошибка позволяет удаленно выполнять команды в Bash из переменных окружения. Это позволяет злоумышленнику запускать вредоносные скрипты в системе или на сервере.

▶️Уязвимость shellshock возникает в тех случаях, когда некоторые специальные символы включаются в определение переменной окружения. Злоумышленник может внедрить вредоносный код в это определение. При обращении к содержимому переменной Bash запустит вредоносный код.

➡️ Содержание статьи:
💠Как проверить, уязвим ли сервер к багу Shellshock?
💠Ошибка Shellshock
💠Эксплуатация ошибки Shellshock
💠Примеры команд для эксплуатации Shellshock
💠Проверка уязвимости нашего сервера к Shellshock
💠Устранение ошибки Shellshock
💠Заключение

🖼️ Дочитать статью

🔨 bash_help

⚙️ Bashbot — Telegram-бот, написанный на bash

✔️Бот предназначен для простых задач и легко интегрируется с задачами Linux.

➡️ Некоторые возможности Bashbot:
💠Отправка, получение и пересылка сообщений. Бот может работать с сообщениями, настраиваемыми клавиатурами, фотографиями, аудиофайлами, записями голоса, документами, местоположениями и видеофайлами.
💠Интерактивные чаты. Текст, который выводит скрипт, отправляется пользователю в реальном времени, а весь ввод пользователя передаётся скрипту.
💠Восстановление после сбоев соединения. Bashbot предлагает возможность восстановления после обнаружения сбоя соединения, например, проверки работы сети, изменения IP-адреса или простого ожидания

▶️Bashbot зависит от команд, которые обычно доступны в среде Linux/Unix. Для пользователей MacOS и BSD бот не будет работать без установки дополнительного программного обеспечения.

▶️Bashbot создан для того, чтобы показать, что ботов можно писать на языке bash.

🐙 Перейти на Github

🔨 bash_help

⚙️ Pisshoff

✔️Простой SSH-сервер, который действует как приманка для хакеров (honeypot).

➡️ Некоторые особенности сервера:
💠Использует thrussh и выставляет фиктивные версии оболочки bash, команд и подсистем SSH.
💠Все действия, которые совершает хакер при подключении, записываются в файл журнала аудита в формате JSON.
💠Предоставляет такие команды, как echo, exit, ls, pwd, scp, uname и whoami.
💠Также предоставляет подсистемы, такие как оболочка и sftp.
💠Не взаимодействует с базовой операционной системой и возвращает только ожидаемый результат.

▶️Цель использования — создать иллюзию реального сервера, но на самом деле пользователь взаимодействует с простыми частичными реализациями общих команд и утилит, которые не делают ничего, кроме возврата ожидаемого вывода.

🐙 Перейти на Github

🔨 bash_help

🗣 Евгений Баклушин, независимый эксперт: Переход от технического специалиста к руководящей должности — один из самых рискованных моментов в карьере

Евгений Баклушин, автор блога BESSEC, рассказал порталу Cyber Media о карьерном росте в сфере информационной безопасности: рисках быстрого продвижения, переходе от технических к руководящим ролям и особенностях достижения уровня топ-менеджмента.

⚙️ Styli.sh

✔️Bash-скрипт, который автоматизирует процесс поиска новых обоев, их загрузки и переключения с помощью конфигураций.

➡️ Некоторые возможности инструмента:
💠Поиск обоев. Styli.sh может искать определённые обои на сайте Unsplash или загружать случайное изображение из указанных субреддитов.
💠Настройка размеров. Пользователь может указать желаемые ширину или высоту обоев.
💠Установка обоев по запросу. Можно выбрать обои на основе поискового термина.
💠Использование встроенных опций. Например, можно использовать опции feh --bg или добавить собственные флаги feh.
💠Автоматическое установление цветов терминала. Для этого нужно использовать флаг -p.
💠Работа с разными средами. Скрипт подходит для использования с feh, nitrogen, XFCE, GNOME, KDE или Sway.

▶️Инструмент разработан для работы с конфигурациями, поэтому для его использования необходимо наличие определённых настроек.

🐙 Перейти на Github

🔨 bash_help

Готов к масштабному IT-событию?
GoCloud — конференция для разработчиков, инженеров, IT-руководителей и всех, кому интересны облака и AI.

На GoCloud тебя ждут три трека:

💻 Инфраструктура и сервисы
Доклады о K8s, Bare Metal, платформе данных и других облачных сервисах для ваших задач.

🧠 AI&ML
Погружение в будущее AI: инструменты, обмен опытом и анонсы продуктов, меняющих индустрию.

👨‍💻 Сценарии работы в облаке
Дискуссии и доклады о гибридных решениях, GenAI, безопасности и реальных кейсах клиентов.

30+ докладов, нетворкинг с экспертами и live-демо сервисов ждут тебя 10 апреля.
Регистрация по ссылке 👈

⚙️ Простая автоматизация с Bash для новичков

✔️Этот материал для тех, кто только рассматривает для себя инструменты автоматизации рутинных процессов.

▶️В статье рассматривается минималистичный скрипт для разворачивания простого python Django проекта при помощи системных юнитов (демонов) на удалённом сервере. Для тех, кто не в курсе: демоны - это специальные системные сервисы, которые следят за состоянием сторонних процессов и поддерживают их работоспособность. В современном мире для таких целей на микросервисах применяется Docker, но когда проект небольшой и состоит из пары-тройки процессов, их намного легче, проще и дешевле для системы (в разы), развернуть при помощи встроенных в линукс демонов.

➡️ Что может скрипт:
💠Конфигурация русской локали
💠Создание юнита для запуска селери
💠Обновить конфигурацию системного демона
💠Установить и обновить конфигурацию Nginx
💠Задание прав на выполнение для скриптов запуска селери и гуникорна
💠Установка сервера редис (очереди для задач)
💠создание и запуск виртуального окружения python
💠Установка необходимых зависимостей
💠Подстановка пользователя и директории в исполняемые файлы
💠Запуск миграций джанго на пустую базу данных
💠Запуск проекта с помощью юнита

🖼️ Прочитать статью на Habr'e
🐙 Ссылка на скрипт

🔨 bash_help

⚙️ Sudomy

✔️Инструмент для перечисления поддоменов, созданный с использованием bash-скрипта для быстрого и всестороннего анализа доменов и сбора поддоменов.

➡️ Некоторые возможности Sudomy:
💠сбор данных с 16 сторонних сайтов, таких как dnsdumpster.com, web.archive.org, shodan.io и другие
💠проверка списка собранных поддоменов на работоспособность http или https-серверов
💠проверка доступности поддоменов на основе Ping Sweep и/или получения кода состояния HTTP
💠обнаружение виртуальных хостов (несколько поддоменов, которые разрешаются до одного IP-адреса)
💠сканирование портов собранных поддоменов/виртуальных хостов
💠создание скриншотов поддоменов
💠идентификация технологий на сайтах
💠вывод результатов в формате HTML или CSV

🐙 Перейти на Github

🔨 bash_help

⚙️ devops-interview

✔️Готовимся к собеседованию на позицию DevOps — сборник самых частых вопросов с ответами и примерами кода.

▶️Разбито по категориям: что нужно знать для прохождения HR, техническое интервью, полезные материалы и топ вопросов по популярности.

➡️ Топ на русском и основан на опыте отечественных компаний.

🐙 Перейти на Github

🔨 bash_help

⚙️ tenv

✔️Универсальный менеджер версий для OpenTofu, Terraform, Terragrunt и Atmos, написанный на Go.

➡️ Некоторые возможности tenv:
💠автоматическое определение нужной версии по конфигурационным файлам (.terraform-version, atmos.yaml, terragrunt.hcl и пр.)
💠автоматическая загрузка и проверка подписи (PGP или Cosign)
💠поддержка tfenv/tofuenv-синтаксиса
💠кроссплатформенность — Linux, macOS, Windows, BSD
💠установка через Homebrew, APT, Chocolatey и множество других пакетных менеджеры
💠стабильный Go API (через tenvlib) — удобно встраивать в кастомные тулы и плагины

🐙 Перейти на Github

🔨 bash_help

⚙️ xdg-ninja

✔️Bash-скрипт, который помогает администраторам GNU/Linux навести порядок в директории $HOME.

▶️Скрипт сканирует каталог на наличие файлов, которые не должны там находиться. Когда он находит такой файл, то сообщает пользователю, можно ли переместить его в подходящее место и как это сделать.

➡️ Особенности:
💠Поддержка кастомной конфигурации. Пользователь определяет программу и список файлов и каталогов, которые эта программа помещает в директорию $HOME.
💠Для каждого файла или каталога пользователь указывает, можно ли его переместить. Если да, то также даёт инструкции, как это сделать.
💠Возможность автоматической генерации конфигурации.

🐙 Перейти на Github

🔨 bash_help