#devops #devsecops

2 статьи, которые помогут погрузиться в тему DevOps:

- Как и зачем становиться DevOps-инженером?
- Повседневные задачи в DevOps: мнения инженеров

Первый материал более общий и посвящён основам DevOps и методам освоения данной профессии. Во второй статье корреспондент Proglib выяснил у инженеров DevOps, с какими задачами они сталкиваются ежедневно и какими инструментами пользуются.

Кстати, одним из опрашиваемых является Андрей Сидоров, который в настоящее время занимает должность DevSecOps Architech в компании ARRIVAL.

​#devsecops

Второй концептуальной сферой непрерывной безопасности является мониторинг и реагирование на атаки.

Вы знаете, что все без исключения системы, имеющие выход в интернет, в конечном счете будут взломаны или как минимум атакованы. Поэтому оптимальный подход к мониторингу и реагированию на атаки должен состоять из трех компонентов:

✔️журналирования и выявления нарушений,
✔️обнаружения вторжений,
✔️реагирования на инциденты.

Остановимся на первом компоненте. С точки зрения безопасности журналирование и выявление нарушений преследует две цели:
- обнаружение аномалий в безопасности;
- предоставление возможностей для проведения экспертизы при расследовании
инцидентов.

За счет чего это реализуется?

За счет концепции конвейера журналирования, предназначенной для создания единого канала обработки и концентрации событий журналов из различных источников, в котором можно обнаруживать аномалии.

Конвейер журналирования включает следующие уровни:
✔️уровень сбора для фиксирования событий журналов из различных компонентов инфраструктуры;
✔️уровень потоковой передачи для захвата и перенаправления событий журналов;
✔️уровень анализа, с помощью которого можно изучить содержимое журналов,
обнаружить вторжения и своевременно на них отреагировать;
✔️уровень хранения;
✔️уровень доступа, позволяющий предоставлять специалистам по эксплуатации (DevOps-специалистам) и разработчикам доступ к журналам.

Компоненты конвейера журналирования представлены на прикрепленной схеме. Остальные компоненты мониторинга и реагирования на атаки рассмотрим далее.

Вебинар для Python-разработчиков с опытом.

Покажем на примере рабочих историй, как выбирать архитектуру для продукта:

🔺Расскажем про реальные задачи и ошибки из рабочей практики.
🔺Разберём архитектуры различных систем.
🔺Поговорим про развитие от стартапа до корпорации.
🔺Проведём анализ архитектуры больших продуктов в IT.
🔺Расскажем, как выбрать оптимальную архитектуру для своего продукта.

• 12 ноября в 19:00 (МСК)
• 60 минут практики + 20 минут ответов на вопросы
• Бесперебойная онлайн-трансляция

#book #pentest #bugbounty

Black Hat Go
Go Programming for Hackers and Pentesters (2020)

Авторы: Tom Steele, Chris Patten, Dan Kottmann

Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.

Книга предоставляет арсенал практических приемов с точки зрения специалистов по безопасности и хакеров. С помощью материалов книги вы можете протестировать ваши системы на безопасность или улучшить свой набор навыков наступательной безопасности, используя всю мощь языка Go.

Вы узнаете, как: создавать инструменты, которые взаимодействуют с удаленными API; очищать произвольные данные HTML; использовать стандартные пакеты и библиотеки для создания HTTP-серверов; написать DNS- и прокси-сервер; использовать DNS-туннелирование для установления канала с C2 из сети; создавать фаззеры уязвимостей, чтобы обнаружить слабые места в безопасности приложения и многое другое.

«Библиотека программиста» приглашает разбирающихся в ИТ авторов присоединиться к проекту. Мы предлагаем удаленную работу, интересные темы и 💰гонорары с выплатой 📅2 раза в месяц.

Прошедшие отбор соискателям сразу даем тему статьи и гонорар, если текст будет качественным. Оплата составляет 500 рублей за 1000 знаков (объем — до 10 тысяч знаков). Если материал больше/сложнее — 10 000 рублей (оговаривается заранее).

Напишите несколько слов о себе на адрес job@proglib.io. Ссылки на публикации будут плюсом.

#tip #burpsuite

При работе с Burp Suite иногда удобно просматривать журналы запросов и ответов, но не те, которые отображаются в Proxy -> HTTP history, а те, которые выполняет Repeater, Intruder, Scanner и т. д.

В решении этой проблемы может помочь расширение Logger++, которое предназначено для многопоточного ведения журнала для Burp Suite. Помимо регистрации запросов и ответов от всех инструментов Burp Suite, оно позволяет определять расширенные фильтры для выделения интересных записей и гибко фильтровать журналы.

https://proglib.io/w/02f3742e

​#devsecops #tools

Объемная статья со всеми практиками DevSecOps и необходимыми инструментами с открытым исходным кодом. Автор описывает более 50 инструментов, распределенных по 16 практикам, включая моделирование угроз, SAST (Статический анализ приложений на уязвимости), DAST (Динамический анализ приложений на уязвимости), SCA (Проверка open-source компонент), защиту Docker и Kubernetes, фреймворки BDD (Behaviour Driven Development), проверку IaC и даже Security Chaos Engineering.

https://proglib.io/w/26441b2a

​#devsecops

Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.

Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.

О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.

​#devops

Дорожные карты помогают ИТ- и ИБ-специалистам задать вектор развития, особенно если их поддерживает сообщество.

Ранее мы рассматривали 2 статьи, которые помогут погрузиться в тему DevOps, а сегодня рассмотрим дорожную карту DevOps-инженера. В статье также перечислены некоторые советы, которые помогут разложить все по полкам.

https://proglib.io/sh/8YNkxq59yt

#devops

Компания Экспресс 42, совместно с конференциями Олега Бунина (Онтико), провели первое исследование состояния DevOps в России.

В течение августа 2020 они опросили 889 специалистов и руководителей из разных регионов, отраслей и компаний. В результате получили срез по текущему состоянию инженерных практик и инструментов, проверили гипотезы, как DevOps влияет на производительность и показатели компаний, сравнили результаты с предыдущими исследованиями, выявили тренды развития.

Одной из основных сложностей стало отсутствие данных за прошлый год, поэтому в своем исследовании они опирались на методологию и данные компании DevOps Research and Assessment (DORA) в отчетах Accelerate State of DevOps 2018/2019.

Кратко с результатами исследования можно ознакомиться в статье: https://proglib.io/w/e3414f86

​#pentest #bugbounty #mobile

Разбираемся с тестированием безопасности Android-приложения на основе OWASP Mobile TOP 10: https://proglib.io/w/55c27964

#devsecops

Обширная статья об организации фаззинга исходного кода, которая затрагивает следующие темы:

1. Фаззинг
- Введение
- Эффективно ли тестирование?
- Что такое фаззинг?
- Фаззинг всё ещё популярен?
- Статический анализ
- Непрерывный фаззинг в непрерывной разработке

2. Этапы интеграции фаззинга в проект
- Выбор инструментов для организации фаззинга
- Определение Attack surface
- Анализ целей для фаззинга
- Подбор входных данных
- Написание фаззера
- Сборка и её особенности на разных платформах

3. Фаззинг в облаке
- Фаззинг-ферма от Google
- Почему решение от Google подходит не всем?
- Что получаем в итоге?

https://proglib.io/w/2f6e0460

#career

Небольшой путеводитель по специальностям в сфере кибербезопасности.

https://proglib.io/w/24ad0c90

#pentest #redteam

Hack The Box — одна из самых крутых онлайн-платформ для тестирования и повышения ваших навыков в области тестирования на проникновение и кибербезопасности.

Прохождение многих виртуальных машин можно посмотреть на YouTube или на Хабре у пользователя RalfHacker.

#pentest

Mind map для пентеста веб-приложений

​#devsecops

Как мы выяснили, непрерывная безопасность охватывает следующие категории:
- Безопасность на основе тестирования,
- Мониторинг и реагирование на атаки (ч. 1 и ч. 2),
- Оценка рисков и усиление безопасности.

Последняя категория в большей степени относится к человеческому фактору, однако при правильном подходе автоматизировать можно любой процесс, поэтому верный подход к управлению рисками должен преследовать следующие цели:
- оценка рисков должна проводиться в пределах небольших итераций, а также максимально часто и быстро;
- приоритет должен быть отдан задачам, которые ориентированы на DevOps;
- оценка рисков должна производиться в рамках команд по безопасности и эксплуатации.

Что касается усиления безопасности или регулярного тестирования безопасности, то оно представляет собой процесс, который внедряется в жизненный цикл продукта, чтобы оказать нагрузку на меры безопасности и смоделировать поведение атакующего.

Традиционно тестирование безопасности включает три области:
- оценку безопасности приложений и инфраструктуры изнутри посредством сканирования уязвимостей, фаззинга, статического анализа кода или контроля конфигурации;
- использование услуг сторонних фирм для проверки безопасности основных сервисов;
- запуск Bug Bounty программ.

#CVE #poc

CVE-2020-27955

Очередная 🚀 от небезызвестного исследователя Dawid Golunski. На этот раз Git <= 2.29.2 подвержен критической уязвимости через расширение git-lfs, которое позволяет удаленным
злоумышленникам выполнять произвольный код в системе Windows после
операции клонирования.

Git LFS (Large File Storage) — расширение Git с открытым исходным кодом для управления версиями больших файлов. Оно заменяет большие файлы (аудио, видео, наборы данных и графику) текстовыми указателями внутри Git, сохраняя при этом содержимое файла на удаленном сервере, например GitHub.com или GitHub Enterprise.

Описание: https://proglib.io/w/e3af1696

Акцент на имени исследователя вначале был сделан не случайно. Так, Dawid Golunski ранее находил уязвимости высокой степени критичности в MySQL, WordPress, Wget, SquirrelMail, Zend Framework и т.д. Список также можно увидеть на его сайте.

#pentest #redteam

Root Me — онлайн-платформа, предлагающая более 350 задач и более 130 виртуальных сред, позволяющих применить на практике и проверить свои навыки взлома в различных сценариях. Бросьте вызов своим навыкам взлома!

​#pentest

🔎 Исследователи из Positive Technologies постоянно радуют различными руководствами, результатами исследований, а также интересными и неочевидными находками. На этот раз актуальное руководство от PT SWARM по внедрению SQL-кода. И не где-нибудь, а в Microsoft SQL Server.

https://proglib.io/w/b44b7488

#hacktivity #writeup

DOM Based XSS с помощью postMessage в Facebook

Напомню, что XSS на основе DOM (DOM XSS) возникает, когда приложение содержит некоторый клиентский JavaScript, который обрабатывает данные из ненадежного источника небезопасным способом, обычно путем записи данных обратно в DOM.

Не так давно исследователь Youssef Sammouda обнаружил две уязвимости, первая из которых позволяла злоумышленнику отправлять сообщения из разных источников с помощью метода postMessage из домена facebook.com. Уязвимый endpoint принимает контролируемый пользователем контент в параметрах запроса и создает объект с данными, предоставленными для отправки с postMessage в окно открытия.

Вторая уязвимость связана с предыдущей и заключается в том, что сценарий небезопасно создает и отправляет форму на основе данных, полученных в сообщениях через Eventlistener.

А самое главное, что все подробно описано и наглядно показано. К слову, на данном сайте исследователь описывает все уязвимости, которые он нашел в рамках программы Bug Bounty от Facebook.

Если вы не знакомы с XSS, а уж тем более с DOM XSS, то ставьте 🤔.

#pentest #practice

XSS-атака

Почему межсайтовое выполнение сценариев или межсайтовый скриптинг (XSS, англ. Cross-Site Scripting) правильнее называть атакой, а не уязвимостью? Дело в том, что XSS является лишь одним из возможных способов эксплуатации уязвимости определенного класса.

Подробнее можно ознакомиться с довольно качественной статьей на хабре. Не обращайте внимание на год, ведь тема не теряет свою актуальность.

Так что это за зверь такой, XSS-атака? XSS позволяет злоумышленнику внедрить вредоносный код на страницу веб-приложения и отправить его обратно в браузер пользователя, где этот код будет выполнен. Причиной этому являются доверительные отношения разработчика приложения к входным данным или некорректная фильтрация входных данных.

Разновидности XSS-атак:

✔️Постоянная (хранимая) XSS, при которой вредоносный код хранится на стороне сервера (например, в базе данных) и отдается каждому пользователю, посещающему зараженную страницу
✔️Непостоянная (отраженная) XSS, при которой пользователю необходимо посетить специально сформированную ссылку
✔️XSS в DOM-модели, которая возникает на стороне клиента во время обработки данных внутри JavaScript сценария.

Подробнее с каждой разновидностью ознакомимся в следующих постах, а сейчас вы можете попрактиковаться на тестовых лабораториях от компании PortSwigger. Переходите по каждой кликабельной ссылке и повышайте мастерство эксплуатации XSS-атак.👇

https://proglib.io/w/8831f5f0