​#pentest #bugbounty #tools

Burp Suite — это швейцарский нож для тестирования безопасности веб-приложений. Если посмотреть репорты Bug Bounty программ, то практически везде на скриншотах можно встретить использование этого инструмента. Альтернативой является OWASP ZAP, который тоже не стоит списывать со счетов.

Но вернемся к Burp Suite. Данная интегрированная платформа предназначена для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, если речь идет о профессиональной (платной) версии. Для начала работы вам будет достаточно бесплатной версии.

Суть работы Burp Suite заключается в проксирующем механизме, который перехватывает и обрабатывает все поступающие от браузера запросы.

Burp Suite содержит следующие ключевые компоненты:
✔️Proxy — перехватывающий прокси-сервер. Находясь между браузером и целевым веб-приложением он позволит вам перехватывать, изучать и изменять запросы.
✔️Spider — паук, позволяющий в автоматическом режиме собирать информацию о об архитектуре веб-приложения, переходить по ссылкам и составлять карту целевого веб-приложения.
✔️Scanner — автоматический сканер уязвимостей (профессиональная версия).
✔️Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
✔️Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов целевого веб-приложения.
✔️Sequencer — утилита для анализа генерации случайных данных приложения и выявления алгоритма генерации.
✔️Decoder — утилита для ручного или автоматического преобразования данных целевого веб-приложения.
✔️Comparer — утилита для запросов и ответов.
✔️Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки.

Ряд деталей было опущено для упрощения, но с ними вы можете ознакомиться в статьях на Хабре (описание возможностей и полезные приемы по использованию Burp Suite более эффективно).

Цикл полезных видеороков по работе с Burp Suite для новичков: https://proglib.io/w/8960652f

Скачать Burp Suite: https://proglib.io/w/123cd3a9

#pentest #bugbounty #tools

Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.

Итак, вернемся к Burp Suite. Чтобы во вчерашнем посте не нагромождать количество ссылок, несколько особо интересных ссылок и мыслей было оставлено на сегодня.

В следующей серии статей вы увидите набор практических советов по работе с Burp Suite, которые упростят поиск уязвимостей:
- часть 1
- часть 2

Следующая статья того же автора о связке Burp Suite и Aquatone, а именно об использовании данных инструментов для автоматического выполнения скриншотов. На входе список ссылок из Burp Suite — на выходе скриншот каждой ссылки и заголовки ответа веб-сервера.

Aquatone также можно и нужно применять вкупе с инструментами для поиска поддоменов. Но это другая и не менее важная история, о которой мы поговорим в другой раз.

Напоследок оставлю ссылку на канал, в котором можно увидеть множество интересного о Burp Suite: https://t.me/burpsuite

#book

The Red Team Guide
A practical guide for Red Teams and Offensive Security

Ранее мы с вами разбирались с понятием Red Team и рассматривали матрицы Mitre Att&ck, которые описывают тактики, техники и процедуры атакующих.

Red Teaming — это процесс использования тактик, методов и процедур для имитации реальных угроз с целью обучения и измерения эффективности сотрудников, процессов и технологий, используемых для защиты корпоративной инфраструктуры.

Процесс Red Teaming использует методы и техники наступательной (offensive) безопасности и позволяет получить представление об общей безопасности организации (способность обнаруживать атаки, реагировать на них и восстанавливаться после них).

Данная книга является очередной фундаментальной книгой, которая должна попасть в вашу библиотеку. Она научит вас управлять командой Red Team, проводить соответствующие мероприятия и понимать ее роль и важность в тестировании безопасности.

Кроме того, авторы книги на практике проведут вас по всем этапам kill chain.

#devops #devsecops

Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.

Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверен­ными пользователями, и защищать их.

Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.

Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.

Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуа­тации (production).

1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в су­ществующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.

2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуа­тации запускают развертывание обновленной программы из СD-конвейера, кото­рый автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.

3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.

Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.

#bugbounty

Bug Bounty: как заработать на взломе

Статья, в которой вы увидите много интересного относительно участия в программах Bug Bounty, а именно: обзор платформ для взаимодействия хакеров и компаний, виды программ Bug Bounty, виды и примеры условий при участии в программах Bug Bounty и многое другое.

https://proglib.io/sh/3TOy0rBskY

#CVE

Если вы или ваша компания пользуетесь Google Chrome под Windows, Mac или Linux, то вам в срочном порядке следует обновиться до актуальной версии, которая включает целых 5 исправлений безопасности.

Одним из фиксов является исравление zero-day уязвимости CVE-2020-15999, существующей в функции FreeType «LoadSBitPng», которая обрабатывает встроенные в шрифты изображения PNG.

Злоумышленники могут использовать этот баг для выполнения произвольного кода, просто используя специально созданные шрифты со встроенными изображениями PNG.

Подробности: https://proglib.io/w/78c38d2a

​#devsecops

Ранее мы определились, что непрерывная безопасность среди прочего включает такую область, как безопасность на основе тестирования (TDS).

Первыми шагами к безопасности программных продуктов являются определение, реализация и тестирование управления безопасностью.

Необходимого уровня безопасно­сти можно добиться последовательной реализацией основных мер безопасности и их тестированием на точность, поэтому случаи ручного тестирования должны быть исключением. Тестировать безопасность следует так же, как и все приложения в CI- и СО-конвейерах: автоматически и повсеместно.

Что из себя представляет TDS?

Подход TDS похож на метод разработки через тестирование (TDD), при котором разработчики сначала пишут тесты, представляющие желаемое поведение, а затем код, реализу­ющий сами тесты. TDS предлагает сначала писать тесты безопасности, представля­ющие ожидаемое состояние, а затем реализовывать меры безопасности, которым предстоит проходить эти тесты.

Данный подход предоставляет следующие преимущества:
✔️Необходимость создание тестов -> глубокое понимание и документирование ожидаемого результата со стороны инженеров по безопасности.
✔️Меры безопасности представляют собой не абстрактные требования, а конкретные операции.
✔️Недостатки в безопасности обнаруживаются до развертывания кода в боевой среде.

Подход TDS кратко и понятно представлен на прикрепленной схеме, из которой видно, что TDS внедряется в CI/CD для выполнения тестов безопасности перед развертыванием в боевой среде.

#redteam #pentest

Ребята из отдела безопасности Positive Technologies (PT Security Weakness Advanced Research and Modeling — PT SWARM) делятся информацией из первых рук, полученной на практике. В приведенных репортах вы увидите яркий пример того, как настоящие безопасники могут из одной подконтрольной точки получить контроль над всей сетью:

- Attacking MS Exchange Web Interfaces
- IDA Pro Tips to Add to Your Bag of Tricks
- Grafana 6.4.3 Arbitrary File Read
- Kerberoasting without SPNs
- Vulnerabilities in the Openfire Admin Console

#devops #devsecops

2 статьи, которые помогут погрузиться в тему DevOps:

- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров

Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.

Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.

​#devsecops

Второй концептуальной сферой непрерывной безопасности является мониторинг и реагирование на атаки.

Вы знаете, что все без исключения системы, имеющие выход в интернет, в конечном счете будут взломаны или как минимум атакованы. Поэтому оптимальный подход к мониторингу и реагированию на атаки должен состоять из трех компонентов:

✔️журналирования и выявления нарушений,
✔️обнаружения вторжений,
✔️реагирования на инциденты.

Остановимся на первом компоненте. С точки зрения безопасности журналирование и выявление нарушений преследует две цели:
- обнаружение аномалий в безопасности;
- предоставление возможностей для проведения экспертизы при расследовании
инцидентов.

За счет чего это реализуется?

За счет концепции конвейера журналирования, предназначенной для создания единого канала обработки и концентрации событий журналов из различных источников, в котором можно обнаруживать аномалии.

Конвейер журналирования включает следующие уровни:
✔️уровень сбора для фиксирования событий журналов из различных компонентов инфраструктуры;
✔️уровень потоковой передачи для захвата и перенаправления событий журналов;
✔️уровень анализа, с помощью которого можно изучить содержимое журналов,
обнаружить вторжения и своевременно на них отреагировать;
✔️уровень хранения;
✔️уровень доступа, позволяющий предоставлять специалистам по эксплуатации (DevOps-специалистам) и разработчикам доступ к журналам.

Компоненты конвейера журналирования представлены на прикрепленной схеме. Остальные компоненты мониторинга и реагирования на атаки рассмотрим далее.

Вебинар для Python-разработчиков с опытом.

Покажем на примере рабочих историй, как выбирать архитектуру для продукта:

🔺Расскажем про реальные задачи и ошибки из рабочей практики.
🔺Разберём архитектуры различных систем.
🔺Поговорим про развитие от стартапа до корпорации.
🔺Проведём анализ архитектуры больших продуктов в IT.
🔺Расскажем, как выбрать оптимальную архитектуру для своего продукта.

• 12 ноября в 19:00 (МСК)
• 60 минут практики + 20 минут ответов на вопросы
• Бесперебойная онлайн-трансляция

#book #pentest #bugbounty

Black Hat Go
Go Programming for Hackers and Pentesters (2020)

Авторы: Tom Steele, Chris Patten, Dan Kottmann

Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.

Книга предоставляет арсенал практических приемов с точки зрения специалистов по безопасности и хакеров. С помощью материалов книги вы можете протестировать ваши системы на безопасность или улучшить свой набор навыков наступательной безопасности, используя всю мощь языка Go.

Вы узнаете, как: создавать инструменты, которые взаимодействуют с удаленными API; очищать произвольные данные HTML; использовать стандартные пакеты и библиотеки для создания HTTP-серверов; написать DNS- и прокси-сервер; использовать DNS-туннелирование для установления канала с C2 из сети; создавать фаззеры уязвимостей, чтобы обнаружить слабые места в безопасности приложения и многое другое.

«Библиотека программиста» приглашает разбирающихся в ИТ авторов присоединиться к проекту. Мы предлагаем удаленную работу, интересные темы и 💰гонорары с выплатой 📅2 раза в месяц.

Прошедшие отбор соискателям сразу даем тему статьи и гонорар, если текст будет качественным. Оплата составляет 500 рублей за 1000 знаков (объем — до 10 тысяч знаков). Если материал больше/сложнее — 10 000 рублей (оговаривается заранее).

Напишите несколько слов о себе на адрес job@proglib.io. Ссылки на публикации будут плюсом.

#tip #burpsuite

При работе с Burp Suite иногда удобно просматривать журналы запросов и ответов, но не те, которые отображаются в Proxy -> HTTP history, а те, которые выполняет Repeater, Intruder, Scanner и т. д.

В решении этой проблемы может помочь расширение Logger++, которое предназначено для многопоточного ведения журнала для Burp Suite. Помимо регистрации запросов и ответов от всех инструментов Burp Suite, оно позволяет определять расширенные фильтры для выделения интересных записей и гибко фильтровать журналы.

https://proglib.io/w/02f3742e

​#devsecops #tools

Объемная статья со всеми практиками DevSecOps и необходимыми инструментами с открытым исходным кодом. Автор описывает более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST (Статический анализ приложений на уязвимости), DAST (Динамический анализ приложений на уязвимости), SCA (Проверка open-source компонент), защиту Docker и Kubernetes, фреймворки BDD (Behaviour Driven Development), проверку IaC и даже Security Chaos Engineering.

https://proglib.io/w/26441b2a

​#devsecops

Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.

Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.

О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.

​#devops

Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.

Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.

https://proglib.io/sh/8YNkxq59yt

#devops

Компания Экспресс 42, совместно с конференциями Олега Бунина (Онтико), провели первое исследование состояния DevOps в России.

В течение августа 2020 они опросили 889 специалистов и руководителей из разных регионов, отраслей и компаний. В результате получили срез по текущему состоянию инженерных практик и инструментов, проверили гипотезы, как DevOps влияет на производительность и показатели компаний, сравнили результаты с предыдущими исследованиями, выявили тренды развития.

Одной из основных сложностей стало отсутствие данных за прошлый год, поэтому в своем исследовании они опирались на методологию и данные компании DevOps Research and Assessment (DORA) в отчетах Accelerate State of DevOps 2018/2019.

Кратко с результатами исследования можно ознакомиться в статье: https://proglib.io/w/e3414f86

​#pentest #bugbounty #mobile

Разбираемся с тестированием безопасности Android-приложения на основе OWASP Mobile TOP 10: https://proglib.io/w/55c27964

#devsecops

Обширная статья об организации фаззинга исходного кода, которая затрагивает следующие темы:

1. Фаззинг
- Введение
- Эффективно ли тестирование?
- Что такое фаззинг?
- Фаззинг всё ещё популярен?
- Статический анализ
- Непрерывный фаззинг в непрерывной разработке

2. Этапы интеграции фаззинга в проект
- Выбор инструментов для организации фаззинга
- Определение Attack surface
- Анализ целей для фаззинга
- Подбор входных данных
- Написание фаззера
- Сборка и её особенности на разных платформах

3. Фаззинг в облаке
- Фаззинг-ферма от Google
- Почему решение от Google подходит не всем?
- Что получаем в итоге?

https://proglib.io/w/2f6e0460