https://github.com/ZupIT/horusec

#DevSecOps

Horusec is an open source tool that performs static code analysis to identify security flaws during the development process. Currently, the languages for analysis are: C#, Java, Kotlin, Python, Ruby, Golang, Terraform, Javascript, Typescript, Kubernetes, PHP, C, HTML, JSON, Dart, Elixir, Shell, Nginx. The tool has options to search for key leaks and security flaws in all files of your project, as well as in Git history. Horusec can be used by the developer through the CLI and by the DevSecOps team on CI /CD mats.

https://github.com/R0X4R/Garud

An automation tool that scans sub-domains, sub-domain takeover and then filters out xss, ssti, ssrf and more injection point parameters.

#DevSecOps

Начинаем серию статей по DevOps и DevSecOps, где поделимся интересными идеями о DevOps в общем, рассмотрим инструменты, облегчающие процесс разработки кода. Но особое внимание уделим DevSecOps и особенностям обеспечения безопасности в разработке.👨‍💻

Основы😄:

-Зачем вообще внедрять девопс если все это дорого богато, а штрафы за утечки в РФ стоят копейки(там не сильно интересно, но в целом базу зачем надо описывают)
https://youtube.com/watch?v=ywu7osKVZIw&feature=youtu.be

- Позитивы на стендофе, от лозунгов к реализации devsecops
https://youtu.be/BF24NoqU5ZI?si=sEK1JW5lGHLU7W5m

- Мифический человеко-DevOps
https://habr.com/ru/articles/786854/

- Некоторые техники безопасной разработки https://www.chaossearch.io/blog/advanced-devsecops-techniques-audit-logging

- Строим devsecops pipeline на опенсурс инструментах
https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

- Архитектура цикла безопасной разработки здорового человека от microsoft https://learn.microsoft.com/ru-ru/azure/architecture/solution-ideas/articles/devsecops-rolling-branch

- Advanced End-to-End DevSecOps Kubernetes(может понадобиться впн, т.к. medium) https://blog.stackademic.com/advanced-end-to-end-devsecops-kubernetes-three-tier-project-using-aws-eks-argocd-prometheus-fbbfdb956d1a

- Инструменты devsecops, постоянно пополяемый список различных инструментов, заглядываю туда когда надо подобрать нужный инструмент
https://github.com/sottlmarek/DevSecOps

Как все происходит, если не соблюдать🤒:
- Как через Github крупные компании ломают, основные приемы https://securitymedia.org/info/opasnye-svyazi-kak-prestupniki-vzlamyvayut-it-produkty-cherez-github.html

- Почему Rockstar Games и Uber взломаны несмотря на девопс https://www.informationweek.com/software-services/is-it-time-to-rethink-devsecops-after-major-security-breaches-

Интересные канальчики🤠:
•https://t.me/devsecops_weekly
•https://devops.com/category/blogs/devsecops/

Постинг по данной теме можно будет найти по хештегу
#devsecops

Список будет постоянно пополняться

Строим devsecops pipeline на к‌о‌л‌е‌н‌к‌е‌ opensource тулзах

https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

Ссылка для РФ без впн:

https://freedium.cfd/https://medium.com/@ikbenezer/building-a-devsecops-pipeline-with-open-source-tools-c296b88cf22c

#devsecops

Devsecops в двух сайтах

https://appsecmap.com/

https://github.com/analysis-tools-dev/static-analysis?ysclid=lu0wqsf82m353697352

#devsecops
#Beacon

🔥 DAST на максималках: Как использовать Noir + ZAP для баг баунти

Всем привет! Сегодня разберем связку ZAP + Noir для обнаружения скрытых эндпоинтов. В январе 2025 вышла версия Noir 0.19.1 с крутыми обновлениями. Погнали! 🚀

📋 Что такое Noir:
- Open-source инструмент для поиска attack surface
- Официальный проект OWASP
- Написан на Crystal (производительность на уровне C)
- Интегрируется с ZAP, Burp, Caido

🎯 Как работает:

1. White-box режим (если есть исходники):
noir -b ./source -u http://target

Находит:
- API эндпоинты
- Параметры и заголовки
- Скрытые функции
- Недокументированные роуты

2. Black-box режим:

noir -u http://target --tech php,js

Ищет:
- Стандартные паттерны роутинга
- API документацию
- JS файлы и их роуты
- Dev эндпоинты

🔨 Процесс работы на баг баунти:

1. Первичная разведка:

# Базовое сканирование
noir -u https://target.com --tech all

# Если нашли JS/исходники
noir -b ./js-sources -u https://target.com

2. Интеграция с браузером:

# В ZAP
noir -u https://target.com --send-proxy "http://localhost:8090"

# Или в Burp
noir -u https://target.com --send-proxy "http://localhost:8080"

3. Автоматизация через Docker:
# Находим эндпоинты
noir -b ~/source -f oas3 -o endpoints.json

# Сканируем через ZAP
docker run -v $(pwd)/endpoints.json:/zap/endpoints.json \
  zaproxy/zap-stable zap-baseline.py -t http://target \
  -z "-openapifile /zap/endpoints.json"

🔍 Что ищет в реальном времени:
- Скрытые админки
- Legacy API эндпоинты
- Недокументированные параметры
- Альтернативные HTTP методы
- API ключи в комментариях
- Чувствительные данные

🎯 Пример реального кейса:

# 1. Нашли JS файлы

# 2. Скачали и проанализировали
noir -b ./js -u https://target.com

# 3. Нашли админку в закомментированном коде
GET /api/v1/admin/users [скрытый эндпоинт]

# 4. Прогнали через ZAP
noir -b ./js -f oas3 -o endpoints.json
```

💡 Оптимальный процесс:
1. Сканируем через Spider/Ajax Spider в ZAP
2. Параллельно анализируем через Noir
3. Объединяем результаты
4. Запускаем активное сканирование по эндпоинтам

🔥 Фишки для баг баунти:
- Находит скрытые и legacy эндпоинты
- Помогает с IDOR через параметры
- Обнаруживает dev функционал
- Ищет чувствительные данные в JS
- Сразу отправляет в ваш прокси

📚 Полезные ссылки:
- GitHub: https://github.com/noir-cr/noir
- Документация: https://owasp.org/www-project-noir/
- ZAP: https://www.zaproxy.org/

#pentest #appsec #zaproxy #noir #bugbounty #devsecops