• Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для атакующих. Благодаря этому материалу, можно понять какие ошибки в конфигурациях встречаются чаще всего и как их исправить.
Attacks:
• Nginx Configuration Vulnerability;
• Exploiting Trailing Slash Misconfiguration;
• Exploiting Parent Directory Access;
• Impact Without Trailing Slash on Alias;
• Combined Impact.
Defend Against Attacks:
• Update Nginx;
• Configuration Check;
• Use Configuration Management;
• Security Headers;
• Access Control;
• Directory Listing;
• Alias Traversal Protection;
• HTTP to HTTPS Redirect;
• SSL Configuration;
• Rate Limiting;
• Connection Limits;
• Custom Error Pages;
• Gzip Compression;
• Client-Side Caching;
• HTTP2 Protocol;
• Secure File Permissions;
• Web Application Firewall (WAF);
• Monitoring and Logging;
• SSH Hardening;
• Firewall Configuration;
• Two-Factor Authentication;
• Regular Backups;
• Deny Hidden Files;
• IP Whitelisting;
• Disable Unused Modules;
• Use Trailing Slash in Alias Directives;
• Regular Expression Matching;
• Implement Strict Location Paths.
#Nginx #devsecops
@sysadmin1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3❤2
Devsecopsguides
Malicious use of OAuth applications
The malicious use of OAuth (Open Authorization) applications poses a significant threat in the realm of cybersecurity, with threat actors exploiting vulnerabilities to compromise user accounts and manipulate permissions for nefarious purposes.
• Network Response Analysis;
• Endpoint Shapes Discovery;
- Common Shapes in OAuth 2.0;
- Application-Specific Shapes;
• OAuth 2.0 Vulnerabilities;
- Open Redirects and Token Theft;
- URL-Parameter-Based Open Redirect;
- Referer-Based Open Redirect;
- Exploiting Redirect Chains;
- Long-Lived Tokens;
- Insecure Redirects;
- Case 1: Attack with URL Parameter;
- Prevention: Method 1 - Use White-Listed Domain;
- Lack of State Check in OAuth;
- Case 1: Attack with State Parameter;
- Prevention: Method 1 - Use State Randomize Parameter;
• Creating Malicious OAuth Applications;
• OAuth Security Checklist;
• AUTHENTICATOR Pattern.
#OAuth #devsecops
@sysadmin1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3❤2
- Ansible Inventory Structure;
- Ansible Playbook Structure;
- Running the Playbook;
- Ansible Playbook: SSH Audit;
- Linux Kernel Audit;
- Nginx Audit;
- Apache Audit;
- Environment Secret Audit;
- SCM (GitLab) Audit;
- Docker Container Audit;
- Kubernetes Pod Audit;
- Database Audit (MySQL and PostgreSQL);
- Manage AWS Security Group Rules;
- Monitor Critical Files;
- Log Collection and Analysis;
- Firewall Rules Management with iptables;
- Backup and Restore Procedures.
• Дополнительно:
- Ansible – Краткое руководство;
- Мини-курс: Ansible на русском языке;
- Основы Ansible 2.9 для сетевых инженеров;
- Шпаргалка по ansible.
#ansible #DevSecOps
@sysadmin1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥2🤝1
DevSecOps Adventures.pdf
20.3 MB
📖 DevSecOps Adventures
Год: 2024
Автор: Дана Пыляева
Прошло десять лет с моей первой попытки поделиться своим волнением об идеях DevOps с небольшой группой сопротивляющихся коллег во внутреннем Agile-сообществе практиков. Мало ли я знала тогда, что небольшой эксперимент по внедрению идей из проекта «Феникс»1, более удобоваримый благодаря геймифицированному опыту, превратится во всемирно известную коллекцию игр о культуре DevOps, откроет двери к выступлениям на конференциях в 15 разных странах и даже даст мне достаточно смелости, чтобы бросить свою постоянную работу и начать свой собственный Agile Play консалтинговый бизнес.
Книга, которую вы сегодня держите в руках (или читаете на своем экране), — это второе издание. С 2013 года в пространстве DevOps многое изменилось. По мере того, как сообщество DevOps узнавало больше о безопасности, культуре и идеях Рона Веструма и Эми Эдмондсон за последние 10 лет, я также осознала, что оригинальной версии моей игры (опубликованной Apress в 2017 году) не хватало подробного освещения этой важной темы. Версия семинара, который я провожу сегодня, включает в себя обширное освещение третьего пути DevOps.
#devsecops
@sysadmin1
Год: 2024
Автор: Дана Пыляева
Прошло десять лет с моей первой попытки поделиться своим волнением об идеях DevOps с небольшой группой сопротивляющихся коллег во внутреннем Agile-сообществе практиков. Мало ли я знала тогда, что небольшой эксперимент по внедрению идей из проекта «Феникс»1, более удобоваримый благодаря геймифицированному опыту, превратится во всемирно известную коллекцию игр о культуре DevOps, откроет двери к выступлениям на конференциях в 15 разных странах и даже даст мне достаточно смелости, чтобы бросить свою постоянную работу и начать свой собственный Agile Play консалтинговый бизнес.
Книга, которую вы сегодня держите в руках (или читаете на своем экране), — это второе издание. С 2013 года в пространстве DevOps многое изменилось. По мере того, как сообщество DevOps узнавало больше о безопасности, культуре и идеях Рона Веструма и Эми Эдмондсон за последние 10 лет, я также осознала, что оригинальной версии моей игры (опубликованной Apress в 2017 году) не хватало подробного освещения этой важной темы. Версия семинара, который я провожу сегодня, включает в себя обширное освещение третьего пути DevOps.
#devsecops
@sysadmin1
👍2❤1🔥1
Современные практики DevSecOps.pdf
6.8 MB
📖 Современные практики DevSecOps
Год: 2023
Автор: Гурав Агарвал
Если вы инженер-программист, системный администратор или инженер по операциям, стремящийся вступить в мир DevOps на публичных облачных платформах, эта книга для вас. Нынешние инженеры DevOps также найдут эту книгу полезной, так как она охватывает лучшие практики, советы и рекомендации по внедрению DevOps с облачным мышлением. Хотя опыт работы с контейнеризацией не требуется, базовое понимание жизненного цикла разработки и доставки программного обеспечения поможет вам получить максимальную отдачу от книги.
#devsecops
@sysadmin1
Год: 2023
Автор: Гурав Агарвал
Если вы инженер-программист, системный администратор или инженер по операциям, стремящийся вступить в мир DevOps на публичных облачных платформах, эта книга для вас. Нынешние инженеры DevOps также найдут эту книгу полезной, так как она охватывает лучшие практики, советы и рекомендации по внедрению DevOps с облачным мышлением. Хотя опыт работы с контейнеризацией не требуется, базовое понимание жизненного цикла разработки и доставки программного обеспечения поможет вам получить максимальную отдачу от книги.
#devsecops
@sysadmin1
👍3🔥2❤1
Внедрение DevSecOps.pdf
12.2 MB
📖 Внедрение DevSecOps
Год: 2023
Авторы: Вандана Верма Сегал
Эта книга посвящена внедрению DevSecOps — подхода, объединяющего разработку, безопасность и операции. Она объясняет, как интегрировать практики безопасности на каждом этапе жизненного цикла разработки ПО, автоматизировать процессы и разрушить традиционные барьеры между командами. В книге рассматриваются ключевые принципы DevSecOps, методы анализа безопасности (SAST, DAST, SCA), управление уязвимостями, моделирование угроз, настройка CI/CD-пайплайнов и использование инструментов с открытым исходным кодом. Она предназначена для разработчиков, специалистов по ИТ-безопасности, DevOps-инженеров и менеджеров, желающих создать эффективную и безопасную среду разработки.
#devsecops
@sysadmin1
Год: 2023
Авторы: Вандана Верма Сегал
Эта книга посвящена внедрению DevSecOps — подхода, объединяющего разработку, безопасность и операции. Она объясняет, как интегрировать практики безопасности на каждом этапе жизненного цикла разработки ПО, автоматизировать процессы и разрушить традиционные барьеры между командами. В книге рассматриваются ключевые принципы DevSecOps, методы анализа безопасности (SAST, DAST, SCA), управление уязвимостями, моделирование угроз, настройка CI/CD-пайплайнов и использование инструментов с открытым исходным кодом. Она предназначена для разработчиков, специалистов по ИТ-безопасности, DevOps-инженеров и менеджеров, желающих создать эффективную и безопасную среду разработки.
#devsecops
@sysadmin1
👍4⚡1❤1🔥1