STRIDE GPT
Всем привет!
Все становится лучше сbluetooth machine learning! Моделирование угроз не является исключением 😊 По ссылке представлен проект STRIDE GPT, цель которого очень проста – применение LLM для генерации моделей угроз и построения деревьев атак, основанных на методологии STRIDE.
Воспользоваться им достаточно просто – через repo clone или с использованием Docker Container’a. После запуска последнего остается лишь перейти на URL и следовать указаниям.
А если не хочется ничего ставить и хочется просто «поиграться», можно пройдя по ссылке.
Потребуется указать информацию:
🍭 OpenAI Key
🍭 Предоставить архитектуру в JPG, JPEG, PNG (опционально)
🍭 Описать приложение «обычными словами»
🍭 Указать «тип» (web, mobile cloud и т.д.)
🍭 Уровень критичности обрабатываемых данных
🍭 Доступно ли приложение через интернет и какой способ аутентификации используется
Готово! Остается лишь немного подождать. Да, пока больше похоже на «интересную» игрушку, но кто знает, что будет дальше 😊
P.S. А если не хочется читать и хочется посмотреть видео, в котором Автор рассказывает про Stride GPT, то можно воспользоваться ссылкой.
Всем привет!
Все становится лучше с
Воспользоваться им достаточно просто – через repo clone или с использованием Docker Container’a. После запуска последнего остается лишь перейти на URL и следовать указаниям.
А если не хочется ничего ставить и хочется просто «поиграться», можно пройдя по ссылке.
Потребуется указать информацию:
🍭 OpenAI Key
🍭 Предоставить архитектуру в JPG, JPEG, PNG (опционально)
🍭 Описать приложение «обычными словами»
🍭 Указать «тип» (web, mobile cloud и т.д.)
🍭 Уровень критичности обрабатываемых данных
🍭 Доступно ли приложение через интернет и какой способ аутентификации используется
Готово! Остается лишь немного подождать. Да, пока больше похоже на «интересную» игрушку, но кто знает, что будет дальше 😊
P.S. А если не хочется читать и хочется посмотреть видео, в котором Автор рассказывает про Stride GPT, то можно воспользоваться ссылкой.
GitHub
GitHub - mrwadams/stride-gpt: An AI-powered threat modeling tool that leverages OpenAI's GPT models to generate threat models for…
An AI-powered threat modeling tool that leverages OpenAI's GPT models to generate threat models for a given application based on the STRIDE methodology. - mrwadams/stride-gpt
👍4😱2❤1
It's always DNS...
Всем привет! Хотите узнать, как работает CoreDNS в Kubernetes? Тогда эта статья для вас!
Автор детально рассказал, как устроен DNS в Kubernetes. В статье подробно рассмотрены такие аспекты, как:
🎹 Общее представление о CoreDNS и процессе разрешения имен в Kubernetes
🎹 DNS политики Kubernetes такие, как ClusterFirst, Default и None
🎹 Разница между библиотеками glibc и musl
Статья получилась достаточно простой, но тем не менее очень интересной! Надеемся она поможет вам разобраться во внутреннем устройстве работы DNS в Kubernetes!
Всем привет! Хотите узнать, как работает CoreDNS в Kubernetes? Тогда эта статья для вас!
Автор детально рассказал, как устроен DNS в Kubernetes. В статье подробно рассмотрены такие аспекты, как:
🎹 Общее представление о CoreDNS и процессе разрешения имен в Kubernetes
🎹 DNS политики Kubernetes такие, как ClusterFirst, Default и None
🎹 Разница между библиотеками glibc и musl
Статья получилась достаточно простой, но тем не менее очень интересной! Надеемся она поможет вам разобраться во внутреннем устройстве работы DNS в Kubernetes!
Povilas Versockas
Understanding DNS in Kubernetes - Povilas Versockas
This blog explores Kubernetes DNS, focusing on service discovery. It covers differences between DNS implementations such as musl and glibc.
👍4🔥4👏1
Damn Vulnerable Kubernetes Application
Всем привет!
По ссылке можно найти repo с DVKA. Проект относительно новый, поэтому материалов пока что не так много.
Есть 2 Challenge:
🍭 Hack The NFT Museum
🍭 Enterprise Grade Network Debugging Console
Это 2 web-приложения, для поиска ключа в которых потребуется знать как базу тестирования на проникновение для web и так и основы k8s (Service Account Token, Network Policies и т.д.)
Помимо этого, в repo можно найти workshop, в котором Автор предлагает разобраться в основах ИБ Kubernetes – от базовых аспектов работы с кластером до запуска утилит, которые могут быть полезны специалистам по информационной безопасности. Ничего сложного и может быть полезно для новичков.
Всем привет!
По ссылке можно найти repo с DVKA. Проект относительно новый, поэтому материалов пока что не так много.
Есть 2 Challenge:
🍭 Hack The NFT Museum
🍭 Enterprise Grade Network Debugging Console
Это 2 web-приложения, для поиска ключа в которых потребуется знать как базу тестирования на проникновение для web и так и основы k8s (Service Account Token, Network Policies и т.д.)
Помимо этого, в repo можно найти workshop, в котором Автор предлагает разобраться в основах ИБ Kubernetes – от базовых аспектов работы с кластером до запуска утилит, которые могут быть полезны специалистам по информационной безопасности. Ничего сложного и может быть полезно для новичков.
GitHub
GitHub - Alevsk/dvka: Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable.
Damn Vulnerable Kubernetes App (DVKA) is a series of apps deployed on Kubernetes that are damn vulnerable. - Alevsk/dvka
🔥3
DevSecOps Learning Path от TryHackMe!
Всем привет!
В феврале 2024 года TryHackMe запустили новый learning path, который посвящен DevSecOps. Материал содержит как теоретическую часть, так и практические задания.
Курс состоит из модулей:
🍭 Secure Software Development
🍭 Security of the Pipeline
🍭 Security in the Pipeline
🍭 Container Security
🍭 Infrastructure as Code
Для прохождение нужны общие знания по информационной безопасности и инженерные навыки.
Если чего-то не хватает, то можно пройти курс «Security Engineer Learning Path» в качестве «подготвки» (в котором есть и про SAST и про DAST и про основы DevSecOps 😊)
Всем привет!
В феврале 2024 года TryHackMe запустили новый learning path, который посвящен DevSecOps. Материал содержит как теоретическую часть, так и практические задания.
Курс состоит из модулей:
🍭 Secure Software Development
🍭 Security of the Pipeline
🍭 Security in the Pipeline
🍭 Container Security
🍭 Infrastructure as Code
Для прохождение нужны общие знания по информационной безопасности и инженерные навыки.
Если чего-то не хватает, то можно пройти курс «Security Engineer Learning Path» в качестве «подготвки» (в котором есть и про SAST и про DAST и про основы DevSecOps 😊)
TryHackMe
Our New DevSecOps Learning Path Has Landed!
We’re delighted to share our NEW DevSecOps learning path, a game-changer for those looking to secure a role or advance in DevSecOps.
🔥9
Что такое контейнеры и Docker в частности?
Всем привет!
Это виртуальные машины. Это емкость, в которую кладут еду на работу. Это сокращенное название портовых работников. Это набор Linux Namespaces. Это… Есть много версий ответов на этот вопрос.
Если вам хочется детально разобраться расставить точки над «i», то предлагаем ознакомиться со статьей. Примерное время чтения – 35 минут.
Статья структурирована по разделам
🍭 Введение в контейнеризацию и Docker – предпосылки реализации, решаемая проблематика
🍭 Постепенное погружение – от общей архитектуры Docker до взаимодействия
🍭 Детальный разбор основных терминов (
🍭 Контейнеры! Linux Namespaces, Control Groups, Linux Kernel и не только
Крайне рекомендуем к прочтению! Автор проделал просто колоссальную работу по структурированию и описанию информации, за что ему огромнейшее спасибо! 😊
P.S. В статье очень много ссылок на полезные материалы и средства автоматизации, которые помогут еще лучше разобраться в происходящем
Всем привет!
Это виртуальные машины. Это емкость, в которую кладут еду на работу. Это сокращенное название портовых работников. Это набор Linux Namespaces. Это… Есть много версий ответов на этот вопрос.
Если вам хочется детально разобраться расставить точки над «i», то предлагаем ознакомиться со статьей. Примерное время чтения – 35 минут.
Статья структурирована по разделам
🍭 Введение в контейнеризацию и Docker – предпосылки реализации, решаемая проблематика
🍭 Постепенное погружение – от общей архитектуры Docker до взаимодействия
dockerd с containerd, runc и ядром Linux🍭 Детальный разбор основных терминов (
Image, Dockerfile, Docker manifest)🍭 Контейнеры! Linux Namespaces, Control Groups, Linux Kernel и не только
Крайне рекомендуем к прочтению! Автор проделал просто колоссальную работу по структурированию и описанию информации, за что ему огромнейшее спасибо! 😊
P.S. В статье очень много ссылок на полезные материалы и средства автоматизации, которые помогут еще лучше разобраться в происходящем
Medium
How does Docker ACTUALLY work? The Hard Way: A Comprehensive Technical Deep Diving
Unveiling the power of Docker: What is Docker? How does Docker work? Explore the world of containerization in this zero to hero guide.
👍13❤4
Автостопом по HashiCorp Vault
Всем привет!
Если вы начинаете свое знакомство с HashiCorp Vault и количество сущностей, терминов, возможностей, настроек и т.д. кажется вам ошеломляющим, и вы не знаете «с чего начать», то рекомендуем обратить внимание на статью.
В ней Автор описывает:
🍭 Общая информация о том, что есть «секрет» и какие системы управления бывают
🍭 Базовые концепты Vault (API, Storage, (Un)seal, Secret Engine и т.д.)
🍭 Способы доставки Token (Response Wrapping, AppRole)
🍭 Управление политиками доступа к секретам
🍭 Интеграции с приложениями (SDK, Agent) и многое другое
В статье много практических примеров и объяснений. Также в ней можно найти советы о том, «как лучше приготовить Vault» от практиков, которые занимаются его внедрением и эксплуатацией.
Всем привет!
Если вы начинаете свое знакомство с HashiCorp Vault и количество сущностей, терминов, возможностей, настроек и т.д. кажется вам ошеломляющим, и вы не знаете «с чего начать», то рекомендуем обратить внимание на статью.
В ней Автор описывает:
🍭 Общая информация о том, что есть «секрет» и какие системы управления бывают
🍭 Базовые концепты Vault (API, Storage, (Un)seal, Secret Engine и т.д.)
🍭 Способы доставки Token (Response Wrapping, AppRole)
🍭 Управление политиками доступа к секретам
🍭 Интеграции с приложениями (SDK, Agent) и многое другое
В статье много практических примеров и объяснений. Также в ней можно найти советы о том, «как лучше приготовить Vault» от практиков, которые занимаются его внедрением и эксплуатацией.
Хабр
Автостопом по HashiCorp Vault
Оффтоп Наш рассказ — это гид автостопщика, некое summary тех вещей, которых нам не хватало при знакомстве с Vault. В нем мы сделаем несколько остановок: поговорим в целом про управление...
👍4🔥4❤1
Привет!
Мы проводим небольшое исследование и нам нужна ваша помощь. Далее будет 3 маленьких опроса, на которые просим вас ответить.
Все анонимно :) Интересует статистика. Спасибо! ☺️
Мы проводим небольшое исследование и нам нужна ваша помощь. Далее будет 3 маленьких опроса, на которые просим вас ответить.
Все анонимно :) Интересует статистика. Спасибо! ☺️
👍1
Сколько уникальных (независимых) инсталляций систем контроля версий (например, GitLab, Gitea и т.д.) используется в вашей Компании?
Anonymous Poll
65%
Одна
16%
Две
20%
Более двух
Сколько уникальных (независимых) инсталляций систем управления задачами (например, Jira, RedMine и тд) используется в вашей Компании?
Anonymous Poll
69%
Одна
18%
Две
13%
Более двух
Сколько уникальных (независимых) инсталляций реестров образов контейнеров (например, Nexus, Harbor и т.д.) используется в вашей Компании?
Anonymous Poll
52%
Одна
24%
Две
24%
Более двух
Шифрование и подпись образов контейнеров
Всем привет!
В статье рассматриваются возможные способы контроля целостности и конфиденциальности «содержимого» образов контейнеров с использованием двух механизмов – шифрования и использования электронной подписи.
Авто рассматривает следующие примеры
🍭 Подпись образов с использованием
🍭 Размещение подписанного образа в Registry с использованием
🍭 Создание политики контроля подписи для
🍭 Шифрование образа контейнера с использованием возможностей
В статье приводятся примеры всех необходимых команд и комментарии к ним.
Для того, чтобы контролировать подпись образов в кластерах Kubernetes можно использовать, например, Kyverno. Подробнее об этом можно прочесть в документации.
А если вам хочется больше узнать про шифрование образов контейнеров, то рекомендуем ознакомиться с этим видео.
Всем привет!
В статье рассматриваются возможные способы контроля целостности и конфиденциальности «содержимого» образов контейнеров с использованием двух механизмов – шифрования и использования электронной подписи.
Авто рассматривает следующие примеры
🍭 Подпись образов с использованием
Cosign🍭 Размещение подписанного образа в Registry с использованием
Podman🍭 Создание политики контроля подписи для
Podman с последующим тестированием🍭 Шифрование образа контейнера с использованием возможностей
PodmanВ статье приводятся примеры всех необходимых команд и комментарии к ним.
Для того, чтобы контролировать подпись образов в кластерах Kubernetes можно использовать, например, Kyverno. Подробнее об этом можно прочесть в документации.
А если вам хочется больше узнать про шифрование образов контейнеров, то рекомендуем ознакомиться с этим видео.
Medium
Securing Kubernetes Workloads: A Practical Approach to Signed and Encrypted Container Images
Podman — one tool to rule them all
👍5❤1
DSOChecklist.pdf
11.2 MB
Mini-hardening-guides от Hadess
Всем привет!
Материал с немного обманчивым названием – «DevSecOps Checklist». Однако, внутри можно найти ~86 страниц, на которых описаны способы hardening для разнообразный технологий.
В выборку попали: Apache, ArgoCD, Auth0, AWS, Ceph, Consul, CouchDB, Docker, eBPF, ElasticSearch, etcd, git, GitLab, GlusterFS, Gradle, IIS, Jenkins, Kubernetes, Memcached, MongoDB, MySQL, Nginx, OpenShift, Redis, SaltStack, Terraform, Tomcat, Weblogic
Каждой отдельно взятой технологии уделено «не очень много временим», ввиду их общего количества.
Однако, материал все равно может пригодиться для составления собственных стандартов безопасной конфигурации
Всем привет!
Материал с немного обманчивым названием – «DevSecOps Checklist». Однако, внутри можно найти ~86 страниц, на которых описаны способы hardening для разнообразный технологий.
В выборку попали: Apache, ArgoCD, Auth0, AWS, Ceph, Consul, CouchDB, Docker, eBPF, ElasticSearch, etcd, git, GitLab, GlusterFS, Gradle, IIS, Jenkins, Kubernetes, Memcached, MongoDB, MySQL, Nginx, OpenShift, Redis, SaltStack, Terraform, Tomcat, Weblogic
Каждой отдельно взятой технологии уделено «не очень много временим», ввиду их общего количества.
Однако, материал все равно может пригодиться для составления собственных стандартов безопасной конфигурации
❤8
OpenCRE: mapping ИБ-стандартов
Всем привет!
По ссылке доступен проект OpenRCE. Его задача в том, чтобы сделать mapping практик между различными ИБ-стандартами.
Если вы изучали некоторые, то, вероятно, замечали: на первый взгляд они кажутся разными, но пересечений бывает очень много.
Возможно, вы делаете свой собственный набор, собирая информацию из различных стандартов и обогащая ее собственным видением. Рано или поздно захочется сделать mapping на источники. Как раз тут вам может помочь проект OpenCRE.
На текущий момент в нем есть:
🍭 OWASP (Top 10, ASVS, SAMM и т.д.)
🍭 CWE
🍭 CAPEC
🍭 NIST 800 53
🍭 NIST SSDF
Пользоваться им просто – переходите в раздел «Map Analysis», выбираете 2 интересующих вас стандарта – готово!
Из недостатков – результаты сравнения нельзя выгрузить и использовать в дальнейшей работе. Более подробно про проект и его возможности можно узнать в видео.
Всем привет!
По ссылке доступен проект OpenRCE. Его задача в том, чтобы сделать mapping практик между различными ИБ-стандартами.
Если вы изучали некоторые, то, вероятно, замечали: на первый взгляд они кажутся разными, но пересечений бывает очень много.
Возможно, вы делаете свой собственный набор, собирая информацию из различных стандартов и обогащая ее собственным видением. Рано или поздно захочется сделать mapping на источники. Как раз тут вам может помочь проект OpenCRE.
На текущий момент в нем есть:
🍭 OWASP (Top 10, ASVS, SAMM и т.д.)
🍭 CWE
🍭 CAPEC
🍭 NIST 800 53
🍭 NIST SSDF
Пользоваться им просто – переходите в раздел «Map Analysis», выбираете 2 интересующих вас стандарта – готово!
Из недостатков – результаты сравнения нельзя выгрузить и использовать в дальнейшей работе. Более подробно про проект и его возможности можно узнать в видео.
👍7🔥2
История Kubernetes
Всем привет!
Пятница – самое время для интересного и приятного чтения чего-то не очень сложного, а даже наоборот, расслабляющего!
Думаем, что статья Brian Grant подойдет! В ней он описывает долгий и интересный путь создания того, что мы знаем, как Kubernetes.
Материал разделен на этапы:
🍭 Lessons from Borg and Omega: 2009–2013
🍭 Early Container Product API Design: 2H2013
🍭 Ramp to Launch: 1H2014
🍭 Finishing the Implementation of the Design: 2H2014
🍭 The Home Stretch: 1H2015
Началось все с того, что нужно было оптимизировать производительность за счет параллельной обработки запросов…
Потрясающий Путь, в котором можно найти предпосылки появления некоторых функций, наброски архитектуры, причины инженерных решений и ответы на некоторые вопросы архитектуры Kubernetes.
А еще можно поиграть в игру – «угадай как эта %сущность% теперь называется в Kubernetes» 😊
Всем привет!
Пятница – самое время для интересного и приятного чтения чего-то не очень сложного, а даже наоборот, расслабляющего!
Думаем, что статья Brian Grant подойдет! В ней он описывает долгий и интересный путь создания того, что мы знаем, как Kubernetes.
Материал разделен на этапы:
🍭 Lessons from Borg and Omega: 2009–2013
🍭 Early Container Product API Design: 2H2013
🍭 Ramp to Launch: 1H2014
🍭 Finishing the Implementation of the Design: 2H2014
🍭 The Home Stretch: 1H2015
Началось все с того, что нужно было оптимизировать производительность за счет параллельной обработки запросов…
Потрясающий Путь, в котором можно найти предпосылки появления некоторых функций, наброски архитектуры, причины инженерных решений и ответы на некоторые вопросы архитектуры Kubernetes.
А еще можно поиграть в игру – «угадай как эта %сущность% теперь называется в Kubernetes» 😊
Medium
Kubernetes: The Road to 1.0
From my work on Borg and Omega, to how Kubernetes got started and launched, to how we decided what was in and out of 1.0 by July 2015.
👍5❤3🔥3
Подпись артефактов: необходимое и/или достаточное условие?
Всем привет!
В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?»
С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет.
Например:
🍭 Как был собран артефакт?
🍭 Какой исходный код использовался?
🍭 Какие параметры сборки передавались и т.д.?
По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию.
В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA.
А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?
Всем привет!
В статье приведены интересные мысли Автора по вопросу: «Является ли подпись артефактов достаточным механизмом контроля целостности и мерой противодействия supply chain атакам?»
С его точки зрения – нет. Да, она подтверждает авторство, но на ряд вопросов она ответить не сможет.
Например:
🍭 Как был собран артефакт?
🍭 Какой исходный код использовался?
🍭 Какие параметры сборки передавались и т.д.?
По этой причине Автор считает, что лучше (вместе с подписью) формировать provenance – набор metadata о процессе сборке. Например: информация об используемом исходном коде, процессе сборке, реализованных ИБ-проверках и вообще все, что вам кажется важным. Данные подписываются электронной подписью, формируя аттестацию.
В завершении Автор рассказывает про slsa-github-generator – набор GitHub Actions, которые позволяют создавать те самые provenance в соответствии с рекомендациями SLSA.
А что вы думаете по этому поводу? Нужны ли эти metadata или это «перебор» и привычной подписи вполне хватает?
Ian Lewis
Code Signing is not Enough
Code signing is often used as a method for ensuring that software artifacts like binaries, drivers, and software packages haven’t been modified by a third party before they are used. Many folks may be familiar with packages that were gpg signed and distributed…
👍8
Mindmap на все случаи жизни!
Всем привет!
Многие, для структурирования информации, любят использовать mind map. Выглядит наглядно, красиво и всегда можно «подсмотреть» что и как.
Если вы разделяете этот взгляд, то вот этот ресурс может быть вам интересен. В нем собрано очень-очень-очень большое количество различных mind map.
Безопасную разработку и DevSecOps тоже не обошли стороной:
🍭 DevOps Roadmap
🍭 DevOps Tools
🍭 MITRE ATT&CK Container Matrix
🍭 Vulnerability Scanners и другие
Из приятного – все красиво оформлено и может пригодиться для изучения новых областей или повышения существующий компетенций.
Однако, картинки не являются интерактивными и перейти по ссылке на интересующую «ветку» карты не получится.
Всем привет!
Многие, для структурирования информации, любят использовать mind map. Выглядит наглядно, красиво и всегда можно «подсмотреть» что и как.
Если вы разделяете этот взгляд, то вот этот ресурс может быть вам интересен. В нем собрано очень-очень-очень большое количество различных mind map.
Безопасную разработку и DevSecOps тоже не обошли стороной:
🍭 DevOps Roadmap
🍭 DevOps Tools
🍭 MITRE ATT&CK Container Matrix
🍭 Vulnerability Scanners и другие
Из приятного – все красиво оформлено и может пригодиться для изучения новых областей или повышения существующий компетенций.
Однако, картинки не являются интерактивными и перейти по ссылке на интересующую «ветку» карты не получится.
GitHub
GitHub - Ignitetechnologies/Mindmap: This repository will contain many mindmaps for cyber security technologies, methodologies…
This repository will contain many mindmaps for cyber security technologies, methodologies, courses, and certifications in a tree structure to give brief details about them - Ignitetechnologies/Mindmap
Идентификация Broken Access Control с использованием Semgrep
Всем привет!
Если упростить, то Broken Access Control можно описать примерно так: уязвимость, которая появляется за счет отсутствия/недостаточности проверок на стороне сервера того, что некоторый субъект (subject) может реализовывать определенные действия (operation) над некоторым объектом (object).
Такие уязвимости достаточно часто встречаются и найти их не так просто, в том числе и потому, что сканеры не всегда могут понять нужный «контекст».
В статье Автор предлагает свой подход к идентификации указанных недостатков. В качестве tech stack он использует NestJS и Semgrep, как SAST-инструмент.
«Вымышленное» приложение представляет из себя набор микросервисов, обладает ролевой моделью, а авторизация реализуется с использованием JWT Token. Для контроля действий пользователей предлагается использовать NestJS Guards.
Автор предлагает следующий набор правил Semgrep, чтобы убедиться, что все реализовано "как надо":
🍭 Поиск endpoints у которых отсутствуют Guards
🍭 Использование «нестандартных» Guards
🍭 Идентификация случаев некорректного использования Guards
🍭 Поиск IDOR, где стандартных Guards может быть недостаточно и не только
Каждое правило содержит его YAML-код, описание с комментариями и ссылку на Semgrep-playground.
Статья затрагивает интересный момент: не стоит «слепо» полагаться на SAST-решение. Что оно само все найдет и само предложит, как можно устранить дефект. Альтернативным сценарием использования SAST может быть поиск определенных конструкций. Но только надо знать, что искать 😊
Всем привет!
Если упростить, то Broken Access Control можно описать примерно так: уязвимость, которая появляется за счет отсутствия/недостаточности проверок на стороне сервера того, что некоторый субъект (subject) может реализовывать определенные действия (operation) над некоторым объектом (object).
Такие уязвимости достаточно часто встречаются и найти их не так просто, в том числе и потому, что сканеры не всегда могут понять нужный «контекст».
В статье Автор предлагает свой подход к идентификации указанных недостатков. В качестве tech stack он использует NestJS и Semgrep, как SAST-инструмент.
«Вымышленное» приложение представляет из себя набор микросервисов, обладает ролевой моделью, а авторизация реализуется с использованием JWT Token. Для контроля действий пользователей предлагается использовать NestJS Guards.
Автор предлагает следующий набор правил Semgrep, чтобы убедиться, что все реализовано "как надо":
🍭 Поиск endpoints у которых отсутствуют Guards
🍭 Использование «нестандартных» Guards
🍭 Идентификация случаев некорректного использования Guards
🍭 Поиск IDOR, где стандартных Guards может быть недостаточно и не только
Каждое правило содержит его YAML-код, описание с комментариями и ссылку на Semgrep-playground.
Статья затрагивает интересный момент: не стоит «слепо» полагаться на SAST-решение. Что оно само все найдет и само предложит, как можно устранить дефект. Альтернативным сценарием использования SAST может быть поиск определенных конструкций. Но только надо знать, что искать 😊
Anshumanbhartiya
Anshuman Bhartiya
Welcome to Anshuman Bhartiya's blog. Explore articles on information security, technology, and personal insights.
👍3
Linx Cloud предлагает потестировать Штурвал и Deckhouse в своем облаке.
Всем привет!
Если у вас стоит вопрос выбора коммерческой версии кубер-платформы, но нет ресурсов на то, чтобы их развернуть, - это можно сделать в облаке Linx Cloud https://linx.ru/cloud/kubernetes-clusters. Сейчас в нем развернуты два решения от российских производителей: Штурвал от компании “Лаборатория Числитель” и Deckhouse от компании “Флант”.
Всем привет!
Если у вас стоит вопрос выбора коммерческой версии кубер-платформы, но нет ресурсов на то, чтобы их развернуть, - это можно сделать в облаке Linx Cloud https://linx.ru/cloud/kubernetes-clusters. Сейчас в нем развернуты два решения от российских производителей: Штурвал от компании “Лаборатория Числитель” и Deckhouse от компании “Флант”.
linx.ru
Managed Kubernetes — услуги облачных сервисов в Москве, Managed Service for Kubernetes
Managed Kubernetes от провайдера облачных решений «Linx.ru» в Москве. ✅ Мы являемся сертифицированным поставщиком инфраструктурных решений. ✅ Кастомизированный подход к предоставлению услуг. Свяжитесь с нами любым удобным способом.
👍3
Trail of Bits Testing Handbook, Web!
Всем привет!
Trail of Bits продолжает радовать отличными материалами и развивать свой проект – «Testing Handbook».
К Static Analysis и Fuzzing (о которых мы писали тут и тут) добавилась новая «глава» Web Application Security, посвященная Burp Suite Professional.
Внутри можно найти:
🍭 Step-by-step guide по первому запуску
🍭 «Ручная» работа с HTTP-запросами
🍭 Работа с Burp Repeater, Intruder, Collaborator
🍭 Общие советы по работе с Burp и не только
Материал будет полезен как и тем, кто только начинает знакомство с Burp, так и тем, кто с ним работает. Если хочется чего-то еще – можно обратить внимание на Web Security Academy.
P.S. Кстати, примерно так может выглядеть внутренняя база знаний по безопасной разработке, о которой так часто упоминают на различных конференциях
Всем привет!
Trail of Bits продолжает радовать отличными материалами и развивать свой проект – «Testing Handbook».
К Static Analysis и Fuzzing (о которых мы писали тут и тут) добавилась новая «глава» Web Application Security, посвященная Burp Suite Professional.
Внутри можно найти:
🍭 Step-by-step guide по первому запуску
🍭 «Ручная» работа с HTTP-запросами
🍭 Работа с Burp Repeater, Intruder, Collaborator
🍭 Общие советы по работе с Burp и не только
Материал будет полезен как и тем, кто только начинает знакомство с Burp, так и тем, кто с ним работает. Если хочется чего-то еще – можно обратить внимание на Web Security Academy.
P.S. Кстати, примерно так может выглядеть внутренняя база знаний по безопасной разработке, о которой так часто упоминают на различных конференциях
appsec.guide
Web application security
Web application security # This section presents web application security tools. For each tool, we cover topics such as:
Installation and basic use Advanced configuration Usage in continuous integration pipelines Burp Suite Professional Burp Suite Professional…
Installation and basic use Advanced configuration Usage in continuous integration pipelines Burp Suite Professional Burp Suite Professional…
👍3🔥2❤1
Чем плохи Long Lived Service Account Tokens в K8S?
Всем привет!
Многие риски ИБ Kubernetes связаны с некорректными конфигурациями ресурсов, включая настройки прав доступа и повышенные привилегии у некоторых ролей (включая роли системных сервисов).
В статье команда GitGuardian рассматривает близкую проблематику, связанную с проблемами использования Long Lived Service Accounts Tokens
В статье рассматривается:
🍭 Что из себя представляют Service Account Tokens
🍭 Зачем они нужны, как используются
🍭 Риски ИБ, связанные с использованием Long Lived Service Account Tokens и другие вопросы
Помимо этого, в статье разбираются причины того, что в некоторых версиях Kubernetes все устроено именно так (хотя практика ограничения времени жизни подобных сущностей является правильной и рекомендуемой).
Завершают статью рекомендации о том, как можно управлять Long Lived Service Account Tokens более безопасно – от использования Service Mesh до TokenRequest API и контроля монтирования Tokens в Pod.
Всем привет!
Многие риски ИБ Kubernetes связаны с некорректными конфигурациями ресурсов, включая настройки прав доступа и повышенные привилегии у некоторых ролей (включая роли системных сервисов).
В статье команда GitGuardian рассматривает близкую проблематику, связанную с проблемами использования Long Lived Service Accounts Tokens
В статье рассматривается:
🍭 Что из себя представляют Service Account Tokens
🍭 Зачем они нужны, как используются
🍭 Риски ИБ, связанные с использованием Long Lived Service Account Tokens и другие вопросы
Помимо этого, в статье разбираются причины того, что в некоторых версиях Kubernetes все устроено именно так (хотя практика ограничения времени жизни подобных сущностей является правильной и рекомендуемой).
Завершают статью рекомендации о том, как можно управлять Long Lived Service Account Tokens более безопасно – от использования Service Mesh до TokenRequest API и контроля монтирования Tokens в Pod.
DEV Community
Understanding the Risks of Long-Lived Kubernetes Service Account Tokens
The popularity of Kubernetes (K8s) as the defacto orchestration platform for the cloud is not showing...
👍2🔥1