Очень годный контент)
Про проверку ключей я тоже немного писал)
Про проверку ключей я тоже немного писал)
Forwarded from Пост Импакта
#sdlc #apikeys
> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?
Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:
github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.
github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.
github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.
github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.
github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.
> Хочу искать секреты и вне работы!
Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить
> И как мне самому узнать, какая утилита лучше всего ищет секреты?
Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md
> Нашёл ключ что мне делать?
Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks
> Когда в github добавят нормальный regex?
Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)
> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?
Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:
github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.
github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.
github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.
github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.
github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.
> Хочу искать секреты и вне работы!
Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить
alert(apikey) в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте.> И как мне самому узнать, какая утилита лучше всего ищет секреты?
Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md
> Нашёл ключ что мне делать?
Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks
> Когда в github добавят нормальный regex?
Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)
🔥6
Всем любителям и неравнодушным к StepN Flutter
Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄
По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!
Подробности в следующем посте.
Хорошей пятницы всем)
Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄
По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!
Подробности в следующем посте.
Хорошей пятницы всем)
😁2
Forwarded from Новости SPbCTF (Vlad Roskov)
This media is not supported in your browser
VIEW IN TELEGRAM
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot)
Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.
Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.
Помогите Ыжу получить заветный доступ к приложению.
Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃♂️ Не забывайте, что чем быстрее, тем больше очков!
— vk.com/wall-114366489_2183
Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.
Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.
Помогите Ыжу получить заветный доступ к приложению.
Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃♂️ Не забывайте, что чем быстрее, тем больше очков!
— vk.com/wall-114366489_2183
👍2
Немного спойлеров про стенд Swordfish Security на оффзон!
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
🔥6
Forwarded from OFFZONE
Наш партнер и соорганизатор AppSec.Zone — Swordfish Security — вовсю готовится к OFFZONE.
Вас ждет стильный стенд и CTF для любителей веба.
А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас.
Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка.
Ищите на OFFZONE!
Вас ждет стильный стенд и CTF для любителей веба.
А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас.
Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка.
Ищите на OFFZONE!
👍7🔥2
Новости SPbCTF
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любитStepn Flutter 😁
#flutter #ctf
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит
#flutter #ctf
YouTube
Разбор Ыжедневных тасков и розыгрыш мерча
Участники и авторы Ыжедневных тасков рассказали, как всё решалось. В конце разыгрываем мерч среди участников.
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
🔥6
Знакомьтесь, динамический анализ приложений или просто DAST.
Всем привет!
В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).
На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))
Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)
Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)
#DAST #Habr #Positive #DevSecOps
Всем привет!
В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).
На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))
Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)
Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)
#DAST #Habr #Positive #DevSecOps
Хабр
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для...
👍8🤔1
А что после OFFZONE?
И после OFFZONE есть жизнь))
Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях».
Пройдет он во вторник, 30 августа в 14:00 (мск).
Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет))
Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас)
Не забудьте заранее зарегистрироваться по этой ссылке.
Надеюсь, увидеть много знакомых лиц :)
#webinar #stingray
И после OFFZONE есть жизнь))
Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях».
Пройдет он во вторник, 30 августа в 14:00 (мск).
Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет))
Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас)
Не забудьте заранее зарегистрироваться по этой ссылке.
Надеюсь, увидеть много знакомых лиц :)
#webinar #stingray
stingray-mobile.ru
Вебинар - Безопасность мобильных приложений в текущих реалиях - Стингрей
🔥8👍2
OFFZONE! CTF! Участвуйте и приходите к нам!
Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!
У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)
Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/
За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)
LETS GO!
#OFFZONE #CTF
Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!
У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)
Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/
За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)
LETS GO!
#OFFZONE #CTF
👍4❤🔥3
Ну и в качестве небольшого подгона)
Стикерпак с мобилками, в лучших традициях жанра)))
Стикерпак с мобилками, в лучших традициях жанра)))
🔥5👍2
Второй день мы с вами!
Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)
Сегодня мы снова с вами и вас ждет не менее интересный день.
В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!
Приходите поболтать, посмотреть на демку и просто весело провести время!
#android #iOS #CTF #OFFZONE
Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)
Сегодня мы снова с вами и вас ждет не менее интересный день.
В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!
Приходите поболтать, посмотреть на демку и просто весело провести время!
#android #iOS #CTF #OFFZONE