Forwarded from Технологический Болт Генона
Container Security 101 — Scanning images for Vulnerabilities
Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5
Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e
Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba
Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5
Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e
Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba
Medium
Container Security 101 — Scanning images for Vulnerabilities
This article series will cover how to secure your container (docker) images using various image scanning solutions and how they can be…
OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Finding secrets in repositories
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
Dagda
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
Acunetix
What Is IAST (Interactive Application Security Testing) | Acunetix
Interactive Application Security Testing (IAST) is a term for tools that combine the advantages of Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST).
Kubernetes - Open Policy Agent, Gatekeeper and Pod Security Policies
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa
xa-253-страницы-7-8.pdf
2.6 MB
"Хак в один клик: сравниваем возможности автоматических сканеров уязвимостей"
В апрельском журнале Хакер вышла обзорная статья про сканеры уязвимостей. В их число входят сканеры веб-приложений, анализаторы мобильных приложений, статические анализаторы и сканеры образов. Для каждого инструмента описан порядок установки и эксплуатации. В конце есть сводная таблица.
Запросить журнал: @Hacker_helpbot
#tools #dev
В апрельском журнале Хакер вышла обзорная статья про сканеры уязвимостей. В их число входят сканеры веб-приложений, анализаторы мобильных приложений, статические анализаторы и сканеры образов. Для каждого инструмента описан порядок установки и эксплуатации. В конце есть сводная таблица.
Запросить журнал: @Hacker_helpbot
#tools #dev
Forwarded from Технологический Болт Генона
Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security assessment. This blogpost presents our findings.
Ansible Security Assessment
https://blog.quarkslab.com/ansible-security-assessment.html
Quarkslab
Ansible Security Assessment - Quarkslab's blog
Ansible is an open-source software automating configuration management and software deployment. Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security…
How to setup Vault with Kubernetes
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Сравнение Prisma Cloud Compute и Aqua CSP
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
A toolkit for validating, forging and cracking JWTs
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
GitHub
GitHub - ticarpi/jwt_tool: :snake: A toolkit for testing, tweaking and cracking JSON Web Tokens
:snake: A toolkit for testing, tweaking and cracking JSON Web Tokens - ticarpi/jwt_tool
This media is not supported in your browser
VIEW IN TELEGRAM
Starboard - Kubernetes-native security tool kit
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Forwarded from Пятничный деплой
Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security
GitHub
Go-SCP/src at master · OWASP/Go-SCP
Golang Secure Coding Practices guide. Contribute to OWASP/Go-SCP development by creating an account on GitHub.
Docker-Slim
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
Forwarded from Mobile AppSec World
Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум 😄
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Кстати автор @mobile_appsec_world является также создателем проекта Stingray, который занял 4 место в Cybersecurity Challenge 2020.
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
OWASP - Component Analysis
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack