Pysa: статический анализатор для Python
Всем привет!
Pysa – «расширение» проекта Pyre (анализ качества кода), которое позволяет проверять исходный код на Python на наличие ИБ-дефектов.
Чтобы запустить Pysa понадобится:
🍭 Установить Pyre, Sapp и Watchman (опционально, для инкрементального сканирования)
🍭 Инициализировать Pysa-проект
🍭 Собрать информацию о ПО с использованием Pyre, включая данные о taint
🍭 Полученные данные отправить в Sapp и работать с результатами в минималистичном web-приложении
Pysa позволяет искать разные ИБ-дефекты, например: RCE, XSS, SQL-инъекции, SSRF и не только. Подробнее можно посмотреть тут.
Подробнее о том, как работает анализатор, способах его конфигурации и возможностях можно найти в документации на проект.
Всем привет!
Pysa – «расширение» проекта Pyre (анализ качества кода), которое позволяет проверять исходный код на Python на наличие ИБ-дефектов.
Чтобы запустить Pysa понадобится:
🍭 Установить Pyre, Sapp и Watchman (опционально, для инкрементального сканирования)
🍭 Инициализировать Pysa-проект
🍭 Собрать информацию о ПО с использованием Pyre, включая данные о taint
🍭 Полученные данные отправить в Sapp и работать с результатами в минималистичном web-приложении
Pysa позволяет искать разные ИБ-дефекты, например: RCE, XSS, SQL-инъекции, SSRF и не только. Подробнее можно посмотреть тут.
Подробнее о том, как работает анализатор, способах его конфигурации и возможностях можно найти в документации на проект.
pyre-check.org
Quickstart | Pyre
Quickstart guide to get Pysa and SAPP running on your project
Управление доступом к web-приложениям
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
Всем привет!
По ссылке можно найти достаточно подробную инструкцию о том, как реализовать безопасное управление доступом к web-приложениям.
Примечательно, что это статья написана не «от лица ИБ» (настройки, RBAC, контроль сессий и т.д.), а именно «от лица разработчика».
Автор описывает реализацию ABAC-модели с использованием CASL, в качестве основного инструмента.
В статье есть информация о том:
🍭 Что такое управление доступом, в чем разница между AuthN/Z
🍭 Разные подходы к управлению доступом
🍭 Детальное рассмотрение ABAC
🍭 Реализация ABAC с использованием CASL
Для наглядности Автор реализует все шаги – от установки CASL до написания небольшого приложения, демонстрирующего как это можно реализовать.
В итоге имеем отличный материал с множеством комментариев, примеров и, конечно же, кода. Рекомендуем!
freeCodeCamp.org
How to Build Scalable Access Control for Your Web App [Full Handbook]
Access control is crucial for preventing unauthorized access and ensuring that only the right people can access sensitive data in your application. As your app grows in complexity, so does the challenge of enforcing permissions in a clean and efficie...
Khronoscope: анализ состояния кластера k8s во времени
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
Документация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
ConfigMap, DaemonSet, Deployments, Namespaces, Nodes, PersistentVolume, Pods, ReplicaSets, Secrets и ServicesДокументация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
GitHub
GitHub - hoyle1974/khronoscope: Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through…
Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through time. - hoyle1974/khronoscope
Поиск изменений и Container Drift
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Medium
Adrift in the Cloud: A Forensic Dive into Container Drift
In this discussion, I’ll be diving into container drift detection, specifically, analyzing container drift from a forensics perspective
Идентификация угроз в Kubernetes
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Medium
Threat Detection in the K8s Environment
Discover what tools our SOC team uses to detect malicious activity on our clusters
Атаки на JSON Web Tokens (JWT)
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Pentesterlab
The Ultimate Guide to JWT Vulnerabilities and Attacks (with Exploitation Examples)
Master JWT security with this in-depth guide to web hacking and AppSec. Learn how to exploit and defend against real-world JWT vulnerabilities like algorithm confusion, weak secrets, and kid injection — with hands-on labs from PentesterLab.