#security #appsec #blueteam
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
GitHub
GitHub - OWASP/www-project-kubernetes-top-ten: OWASP Foundation Web Respository
OWASP Foundation Web Respository. Contribute to OWASP/www-project-kubernetes-top-ten development by creating an account on GitHub.
👍4
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Хабр
Перевод стандарта ASVS 4.0. Часть 1
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного...
👍5
#appsec #practice #security
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Medium
Building AppSec Pipeline for Continuous Visibility
Most SaaS organizations need high-velocity engineering with multiple releases in a day where security & engineering teams are…
🔥2
#devsecops #appsec #career
AppSec vs. DevSecOps
Две похожие сферы деятельности, однако они преследуют разные подходы к обеспечению безопасности.
Читать
AppSec vs. DevSecOps
Две похожие сферы деятельности, однако они преследуют разные подходы к обеспечению безопасности.
Читать
www.cobalt.io
AppSec vs. DevSecOps | Cobalt
Explore the differences between AppSec and DevSecOps including the unique techniques and benefits each methodology offers.
#devsecops #appsec
Практика автоматизированного динамического анализа приложений (DAST): какие подводные камни ждут при внедрении данной практики, какие особенности следует учитывать и как избежать проблем.
Читать
Практика автоматизированного динамического анализа приложений (DAST): какие подводные камни ждут при внедрении данной практики, какие особенности следует учитывать и как избежать проблем.
Читать
Хабр
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для...
👍2
#pentest #CVE #security #appsec
CVE-2021-38297
Технические детали и эксплуатация уязвимости в связке Go (до 1.16.9 и 1.17.x-1.17.2) + WebAssembly.
Читать
CVE-2021-38297
Технические детали и эксплуатация уязвимости в связке Go (до 1.16.9 и 1.17.x-1.17.2) + WebAssembly.
Читать
JFrog
CVE-2021-38297 - Analysis of a Go Web Assembly vulnerability
CVE-2021-38297 allows attackers to override an entire Wasm module & achieve WebAssembly code execution. Read technical analysis & mitigation from JFrog Security research >
👍4❤1
#appsec
Тернистый путь к безопасности, или Как команда Wise Engineering интегрировала AppSec в жизненный цикл разработки ПО:
— Часть 1
— Часть 2
Тернистый путь к безопасности, или Как команда Wise Engineering интегрировала AppSec в жизненный цикл разработки ПО:
— Часть 1
— Часть 2
Medium
Our Application Security Journey (Part 1)
This is the first in a series of articles on the state of Application Security at Wise, describing the integration of security in the…
#security #appsec
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
#pentest #bugbounty #appsec #security
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
👍1
#appsec #security #pentest #bugbounty
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
Frycos Security Diary
Pre-Auth RCE with CodeQL in Under 20 Minutes
This write-up won’t be an intense discussion on security code review techniques this time. We’ll simply let do all the hard work by a third party: CodeQL.
⚡2
#redteam #appsec #pentest #OSINT #blueteam
🔥 🎄📚 TryHackMe! Advent of Cyber 2022
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4
#cheatsheet #appsec #pentest #bugbounty
OWASP Cheat Sheet Series — серия полезных шпаргалок по конкретным темам безопасности приложений.
https://cheatsheetseries.owasp.org/
OWASP Cheat Sheet Series — серия полезных шпаргалок по конкретным темам безопасности приложений.
https://cheatsheetseries.owasp.org/
cheatsheetseries.owasp.org
Introduction - OWASP Cheat Sheet Series
Website with the collection of all the cheat sheets of the project.
👍2
#appsec #security #pentest #bugbounty
JavaScript — язык, созданный для ошибок
В статье обсуждается странное и интересное поведение, встроенное в JavaScript, и то, как его может использовать злоумышленник.
Читать
JavaScript — язык, созданный для ошибок
В статье обсуждается странное и интересное поведение, встроенное в JavaScript, и то, как его может использовать злоумышленник.
Читать
Yeswehack
Why JavaScript Is Susceptible To Bugs | YesWeHack Learning Bug Bounty
Venture into the propensities of JavaScript that make it a breeding ground for bugs. Explore the common pitfalls and learn how to navigate through them to identify vulnerabilities effectively in your bug bounty hunting endeavors, while understanding the nuances…
👍4
#security #appsec
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
pbom.dev
Home - pbom.dev
👍5
#tools #appsec
🔐 🧰 Bearer — инструмент статического тестирования безопасности приложений для поиска утечек конфиденциальных данных в коде. В настоящее время поддерживаются стеки JavaScript и Ruby.
https://github.com/Bearer/bearer
https://github.com/Bearer/bearer
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Bearer/bearer: Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.
Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks. - Bearer/bearer
🤔2❤1👍1
#appsec #devsecops #practice
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Настройка авторизованного сканирования с использованием ZAP: подводные камни и пошаговый гайд.
Читать
Хабр
OWASP ZAP — поддержка Session Management на основе заголовков
Все, кто связан со сферой Application Security / DevSecOps, так или иначе слышали или даже применяют продукт OWASP ZAP. Данное приложение представляет из себя open source-инструмент для динамического...
👍4
Разбор возможностей трех популярных статических анализаторов кода, которые заточены под язык Go: GoSec, Go Vulnerability Manager и GoKart.
Читать
#appsec #security #practice
Читать
#appsec #security #practice
Хабр
Как искать уязвимости в проекте на Go: обзор популярных анализаторов кода и их возможностей
Привет! Меня зовут Николай Никитас, я бэкенд-разработчик в Авито. В команде я занимаю роль security-чемпиона, то есть отвечаю за безопасность проекта. Чтобы узнать, есть ли в программе...
👍5
#appsec #devsecops
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
📌 На заметку DevSecOps и AppSec специалистам
Инженерный отдел по динамическому анализу Swordfish Security делится опытом настройки и дальнейшего использования автоматической авторизации в приложении с помощью OWASP ZAP.
Читать
🔥4
✅Вы научитесь атаковать и защищать системы на примере виртуальных лабораторий и реальных сценариев.
✅Вас ждут видеоуроки по LPE, Blue/Red Team, пост-эксплуатации, эксплуатации уязвимостей в Linux/Windows и веб-уязвимостей, практики защиты популярного софта и многое другое.
#guide #pentest #redteam #blueteam #security #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱3👍2🔥1
Разбираемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.
И самое главное: чем «аппсеки» отличаются от «девсекопсов», «девопсов», пентестеров, аналитиков и разработчиков.
#career #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1🥱1