Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
С первой частью статью можно познакомиться тут: Автоматизация OWASP ZAP. Часть 1. Вводная часть
Почему Docker?
Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
Читать статью полностью: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-2-zapusk-v-docker-dostup-k-api.73331/
#dast #docker #owasp zap #web application penetration testing #zakrush #автоматизация
Приветствую на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров.
С первой частью статью можно познакомиться тут: Автоматизация OWASP ZAP. Часть 1. Вводная часть
Почему Docker?
Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
Читать статью полностью: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-2-zapusk-v-docker-dostup-k-api.73331/
#dast #docker #owasp zap #web application penetration testing #zakrush #автоматизация
Docker: 10 рекомендаций по безопасности
Зачастую Вы начинаете проекты с общего образа контейнера Docker, например, писать Dockerfile с FROM node , как обычно. Однако при указании образа ноды вы должны учитывать, что полностью установленный дистрибутив Debian является базовым образом, который используется для его сборки. Если вашему проекту не требуются какие-либо общие системные библиотеки или системные утилиты, лучше избегать использования полнофункциональной операционной системы в качестве базового образа.
Читать: https://codeby.net/threads/docker-10-rekomendacij-po-bezopasnosti.67203/
#docker #pullnode #dockerfile
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Зачастую Вы начинаете проекты с общего образа контейнера Docker, например, писать Dockerfile с FROM node , как обычно. Однако при указании образа ноды вы должны учитывать, что полностью установленный дистрибутив Debian является базовым образом, который используется для его сборки. Если вашему проекту не требуются какие-либо общие системные библиотеки или системные утилиты, лучше избегать использования полнофункциональной операционной системы в качестве базового образа.
Читать: https://codeby.net/threads/docker-10-rekomendacij-po-bezopasnosti.67203/
#docker #pullnode #dockerfile
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
Docker в приложениях asp.net core
Докер появился сравнительно давно, и смог завоевать сердца сообщества разработчиков ( и не только ). Знающий читатель может опустить дальнейшие абзацы, и перейти непосредственно к части контейнеризации, для всех остальных я хочу рассказать что такое Docker и главное какую проблему он решает.
Читать: https://codeby.net/threads/docker-v-prilozhenijax-asp-net-core.66626/
#docker #react #asp
Докер появился сравнительно давно, и смог завоевать сердца сообщества разработчиков ( и не только ). Знающий читатель может опустить дальнейшие абзацы, и перейти непосредственно к части контейнеризации, для всех остальных я хочу рассказать что такое Docker и главное какую проблему он решает.
Читать: https://codeby.net/threads/docker-v-prilozhenijax-asp-net-core.66626/
#docker #react #asp
Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
Почему Docker? Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
Читать: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-2-zapusk-v-docker-dostup-k-api.73331/
#owasp #testing #docker
Почему Docker? Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
Читать: https://codeby.net/threads/avtomatizacija-owasp-zap-chast-2-zapusk-v-docker-dostup-k-api.73331/
#owasp #testing #docker
Дыра в docker или Writeup KB-VULN: 2 Vulnhub
Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2.
📌 Читать статью: https://codeby.net/threads/dyra-v-docker-ili-writeup-kb-vuln-2-vulnhub.79051/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ctf #docker
Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2.
📌 Читать статью: https://codeby.net/threads/dyra-v-docker-ili-writeup-kb-vuln-2-vulnhub.79051/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#ctf #docker
Docker: 10 рекомендаций по безопасности
Всем привет! Памятка рассчитана для повышения безопасности контейнеров Docker. Зачастую Вы начинаете проекты с общего образа контейнера Docker, например, писать Dockerfile с FROM node , как обычно. Однако при указании образа ноды вы должны учитывать, что полностью установленный дистрибутив Debian является базовым образом, который используется для его сборки. Если вашему проекту не требуются какие-либо общие системные библиотеки или системные утилиты, лучше избегать использования полнофункциональной операционной системы в качестве базового образа.
📌 Читать далее
#docker #security
Всем привет! Памятка рассчитана для повышения безопасности контейнеров Docker. Зачастую Вы начинаете проекты с общего образа контейнера Docker, например, писать Dockerfile с FROM node , как обычно. Однако при указании образа ноды вы должны учитывать, что полностью установленный дистрибутив Debian является базовым образом, который используется для его сборки. Если вашему проекту не требуются какие-либо общие системные библиотеки или системные утилиты, лучше избегать использования полнофункциональной операционной системы в качестве базового образа.
📌 Читать далее
#docker #security
👍14😱2👎1😢1
Misconfiguration в сервисах разработки
Час добрый, господа. Довелось мне как то, в один из прекрасных вечеров, проверить на уязвимость кучу сервисов связанных с разработкой и в этой статье я поделюсь находками, о которых, уже рассказывал. Misconfiguration - класс уязвимостей связанных с неправильной настройкой того или иного сервиса. Хотя на самом деле не всё оказалось мисконфигами. Ну хватит лить воду, приступим...
📌 Читать далее
#pentest #docker
Час добрый, господа. Довелось мне как то, в один из прекрасных вечеров, проверить на уязвимость кучу сервисов связанных с разработкой и в этой статье я поделюсь находками, о которых, уже рассказывал. Misconfiguration - класс уязвимостей связанных с неправильной настройкой того или иного сервиса. Хотя на самом деле не всё оказалось мисконфигами. Ну хватит лить воду, приступим...
📌 Читать далее
#pentest #docker
👍11
Автоматизация OWASP ZAP, Часть 2, Запуск в Docker, доступ к API
Приветствую всех на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров. Почему Docker? Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
📌 Читать далее
#docker #owasp
Приветствую всех на второй части статьи по OWASP ZAP. В данной статье мы рассмотрим запуск ZAP в DOCKER, а так же различные тонкие моменты его запуска, различные режимы работы и типы контейнеров. Почему Docker? Тут все очевидно и просто. Докер образ нам позволяет изолировать среду, более быстро и оперативно решать проблемы, либо не решать их совсем, а просто откатываться к предыдущим версиям образов, или обнулять все конфигурации например. К тому же докер нам позволяет переносить все зависимости и всю среду AS IS(как есть) практически на любую операционную систему, а также позволяет постоянно обновляться и проводить тестирование на самых новых версиях OWASP ZAP.
📌 Читать далее
#docker #owasp
👍12
Дыра в docker или Writeup KB-VULN: 2 Vulnhub
Приветствую! Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2. Имеется атакуемая машина под управлением Ubuntu linux, на которой есть флаги. Задача: получить 2 флага с целевой машины и права пользователя root.
📌 Читать далее
#ctf #docker #writeup
Приветствую! Это продолжение прохождения серии коробок с Vulnhub - KB-VULN. В данной статье представлено прохождение машины KB-VULN: 2. Имеется атакуемая машина под управлением Ubuntu linux, на которой есть флаги. Задача: получить 2 флага с целевой машины и права пользователя root.
📌 Читать далее
#ctf #docker #writeup
🔥7👍3
SSTI и Docker Image. Bolt Medium HackTheBox!
Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Bolt. В этой статье мы отыщем уязвимые пути и файлы в изображении Docker и найдем SSTI в веб приложении. Приступаем!
📌 Читать далее
#ctf #docker #ssti
Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Bolt. В этой статье мы отыщем уязвимые пути и файлы в изображении Docker и найдем SSTI в веб приложении. Приступаем!
📌 Читать далее
#ctf #docker #ssti
👍12🔥4
Представляет собой вспомогательный инструмент для фаззинга регулярных выражений методом чёрного ящика, который позволяет обходить проверки и обнаруживать нормализации в веб-приложениях. Также может быть полезен для обхода WAF и слабых механизмов защиты от уязвимостей.
Цель этого инструмента — генерация полезных нагрузок (payloads) для тестирования. Фактическое фаззинг-тестирование должно проводиться с помощью других инструментов, таких как Burp, Caido, ffuf и др.
Установить можно через python или docker следующими командами.
git clone https://github.com/0xacb/recollapse.git
cd recollapse
#Python 3
python3 setup.py install
#Docker
docker build -t recollapse .
Режимы работы
Предположим, что входная строка — this_is.an_example.
.^$*+-?()[]{}\|Кодирование
Диапазон
Диапазон байтов для фаззинга: -r 1-127 позволит исключить буквенно-цифровые символы, если не указана опция -an (буквенно-цифровые символы).
Размер
Размер фаззинга для режимов 1, 2 и 4. По умолчанию выполняется фаззинг всех возможных значений для одного байта. Увеличение размера потребует больше ресурсов и приведет к созданию большего количества входных данных, но это может помочь найти новые обходные пути.
Таблицы
Используйте -nt параметр, чтобы отобразить таблицу нормализации, -ct параметр, чтобы отобразить таблицу регистров, и -tt параметр, чтобы отобразить таблицу усечения. Также можно использовать --html параметр для вывода таблиц в формате HTML.
recollapse -nt --html > normalization_table.html
recollapse -tt --html > truncation_table.html
recollapse -ct --html > case_table.html
recollapse -e 1 -m 1,2,4 -r 10-11 https://legit.example.com
echo "a@b.com" | recollapse
echo "<svg/onload=alert(1)>" | recollapse | ffuf -w - -u "https://example.com/?param=FUZZ" -mc 200,403,500
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥6👍5