Appsecco training course
На просторах твиттера начали появляться в большом количестве материалы от Appsecco. Это компания, которая занимается консалтингом по безопасности приложений и проведением тренингов (не в России). На фоне пандемии они собрали свои обучающие материалы в общедоступных репах. В частности вы найдете описание и сценарии атак на Kubernetes, Docker и способы защиты AWS и Azure с полезными ссылками.
Attacking and Auditing Dockers Containers and Kubernetes Clusters
Breaking and Pwning Apps and Servers on AWS and Azure
#practise #ops #attack
На просторах твиттера начали появляться в большом количестве материалы от Appsecco. Это компания, которая занимается консалтингом по безопасности приложений и проведением тренингов (не в России). На фоне пандемии они собрали свои обучающие материалы в общедоступных репах. В частности вы найдете описание и сценарии атак на Kubernetes, Docker и способы защиты AWS и Azure с полезными ссылками.
Attacking and Auditing Dockers Containers and Kubernetes Clusters
Breaking and Pwning Apps and Servers on AWS and Azure
#practise #ops #attack
Выложены доклады с OffensiveCon20
https://www.youtube.com/playlist?list=PLYvhPWR_XYJnX_sscErznYqwBrIhuS08O
Очень крутая конференция про эксплуатацию уязвимостей. Из того, что мне показалось интересно и наиболее релевантно к тематике продуктовой безопасности:
No Clicks Required: Finding Remote Vulns in Messaging Apps
No Clicks Required: Exploiting Memory Corruption Vulns in Messenger Apps
- Про "0-click" эксплоиты в приложении для обмена сообщениями. «0-click» эксплоиты не требуют взаимодействия с пользователем для взлома мобильного устройства. Кстати Apple платит 1 млн $ за такие уязвимости в iPhone.
#talks
https://www.youtube.com/playlist?list=PLYvhPWR_XYJnX_sscErznYqwBrIhuS08O
Очень крутая конференция про эксплуатацию уязвимостей. Из того, что мне показалось интересно и наиболее релевантно к тематике продуктовой безопасности:
No Clicks Required: Finding Remote Vulns in Messaging Apps
No Clicks Required: Exploiting Memory Corruption Vulns in Messenger Apps
- Про "0-click" эксплоиты в приложении для обмена сообщениями. «0-click» эксплоиты не требуют взаимодействия с пользователем для взлома мобильного устройства. Кстати Apple платит 1 млн $ за такие уязвимости в iPhone.
#talks
Оказывается не так давно Aqua опубликовала полную версию книги. В конце есть чеклист.
#literature #ops
#literature #ops
Forwarded from Технологический Болт Генона
Container Security.pdf
6.5 MB
Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. April 2020.
Другая её книга в сооавторстве - https://yangx.top/tech_b0lt_Genona/265
Другая её книга в сооавторстве - https://yangx.top/tech_b0lt_Genona/265
Kubernetes Security monitoring at scale with Sysdig Falco
Sysdig Falco - open-source версия Sysdig для обеспечения безопасности среды контейнеризации. Есть контроль контейнеров в режиме run-time и k8s audit. Sysdig Falco в частности проверяет хост на предмет появления дочерних процессов и контролирует чувствительные данные вроде /etc/shadow. Собственно все то, что может являться примером первых действий, которые злоумышленник предпримет, если ему удастся получить доступ к инфраструктуре. В статье в частности можете прочитать про опыт мониторинга безопасности k8s с помощью Sysdig Falco.
https://medium.com/@SkyscannerEng/kubernetes-security-monitoring-at-scale-with-sysdig-falco-a60cfdb0f67a
#tools #docker #k8s #ops
Sysdig Falco - open-source версия Sysdig для обеспечения безопасности среды контейнеризации. Есть контроль контейнеров в режиме run-time и k8s audit. Sysdig Falco в частности проверяет хост на предмет появления дочерних процессов и контролирует чувствительные данные вроде /etc/shadow. Собственно все то, что может являться примером первых действий, которые злоумышленник предпримет, если ему удастся получить доступ к инфраструктуре. В статье в частности можете прочитать про опыт мониторинга безопасности k8s с помощью Sysdig Falco.
https://medium.com/@SkyscannerEng/kubernetes-security-monitoring-at-scale-with-sysdig-falco-a60cfdb0f67a
#tools #docker #k8s #ops
Forwarded from Технологический Болт Генона
Подробный рассказ с примером встраивания сканера безопасности веб-приложений OWASP ZAP (https://www.zaproxy.org/) в GitHub Actions.
DevSecOps goodness with Github actions and OWASP ZAP
https://www.youtube.com/watch?v=oXRdejqwBwc
Приложение в демке и примеры запуска Actions - https://github.com/we45/Vulnerable-Flask-App/actions
ЗЫ Статья на Medium с описанием как встроить ZAP в Azure Pipeline
How to run OWASP ZAP Security Tests Part of Azure DevOps CI/CD Pipeline
https://medium.com/@ganeshsirsi/how-to-run-owasp-zap-security-tests-part-of-azure-devops-ci-cd-pipeline-484da8793a12
DevSecOps goodness with Github actions and OWASP ZAP
https://www.youtube.com/watch?v=oXRdejqwBwc
Приложение в демке и примеры запуска Actions - https://github.com/we45/Vulnerable-Flask-App/actions
ЗЫ Статья на Medium с описанием как встроить ZAP в Azure Pipeline
How to run OWASP ZAP Security Tests Part of Azure DevOps CI/CD Pipeline
https://medium.com/@ganeshsirsi/how-to-run-owasp-zap-security-tests-part-of-azure-devops-ci-cd-pipeline-484da8793a12
YouTube
Live Code Session - DevSecOps goodness with Github actions and OWASP ZAP
In this Live Code session, Abhay Bhargav hosts a Live Code session on integrating OWASP ZAP as part of Github Actions. Orchestrate your Dynamic security (DAST) scans to detect vulnerabilities through ZAP.
Website
https://www.we45.com…
Website
https://www.we45.com…
Runtime Mobile Security (RMS)
Runtime Mobile Security (RMS) - это веб-интерфейс, который позволяет управлять Android Java Classes и Methods в режиме runtime. Работать с аргументами и возвращаемыми значениями можно также налету.
#mobile #de
Runtime Mobile Security (RMS) - это веб-интерфейс, который позволяет управлять Android Java Classes и Methods в режиме runtime. Работать с аргументами и возвращаемыми значениями можно также налету.
#mobile #de
Deepfence Runtime Threat Mapper
Deepfence Runtime Threat Mapper - open-source версия по защите контейнерной среды от Deepfence.
В число возможностей входит:
- визуализация кластеров, ВМ и контейнеров,
- сканирование на уязвимости хостов, образов и развернутых контейнеров
- сканирование реестров
- сканирование образов в Ci/CD
- интеграция с SIEM, Jira, Slack и тд
Работает с помощью развернутых контейнеров (Deepfence Agent) на продуктивных нодах кластера, выделенной консоли и облака.
#k8s #docker #ops #dev
Deepfence Runtime Threat Mapper - open-source версия по защите контейнерной среды от Deepfence.
В число возможностей входит:
- визуализация кластеров, ВМ и контейнеров,
- сканирование на уязвимости хостов, образов и развернутых контейнеров
- сканирование реестров
- сканирование образов в Ci/CD
- интеграция с SIEM, Jira, Slack и тд
Работает с помощью развернутых контейнеров (Deepfence Agent) на продуктивных нодах кластера, выделенной консоли и облака.
#k8s #docker #ops #dev
SheftLeft Scan - A Free & Open Source DevSecOps Platform
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Forwarded from Технологический Болт Генона
wstg-v4.1.pdf
9.2 MB
Релизнулся, не побоюсь этого слова, фундаментальный труд "OWASP Web Security Testing Guide 4.1". Предыдущая версия 4.0 вышла аж в 2014 году.
Изменения в новой версии
https://github.com/OWASP/wstg/releases/tag/v4.1
Веб-версия
https://owasp.org/www-project-web-security-testing-guide/v41/
Изменения в новой версии
https://github.com/OWASP/wstg/releases/tag/v4.1
Веб-версия
https://owasp.org/www-project-web-security-testing-guide/v41/
RubyGems содержит вредоносные пакеты, подвергающие опасности разработчиков на Windows
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
Более 700 вредоносных пакетов с похожими именами были загружены в RubyGems, популярный репозиторий сторонних компонентов для языка программирования Ruby. По словам исследователей, загрузка вредоносных пакетов разработчиками происходила в течение недели в феврале. Мошеннические пакеты содержали вредоносный скрипт, который при исполнении на ОС Windows захватывал криптовалютные транзакции, заменяя адрес кошелька получателя на адрес, контролируемый злоумышленником. Используемый сценарий перехвата буфера обмена мог быть легко используемым также для кражи любых учетных данных.
#news #dev
CSO Online
RubyGems typosquatting attack hits Ruby developers with trojanized packages
Attacker targeted Windows systems to hijack cryptocurrency transactions, and was able to evade anti-typosquatting measures.
skywrapper_demo.gif
23.2 MB
SkyWrapper
SkyWrapper - open-source проект CyberARK, направленный на поиск подозрительных временных токенов в AWS аккаунте, выявляя вредоносную активность. Инструмент анализирует учетную запись AWS, после чего создает Excel-лист, который включает все текущие временные токены. Сводка результатов выводится на экран после каждого запуска.
#tools #aws #ops
SkyWrapper - open-source проект CyberARK, направленный на поиск подозрительных временных токенов в AWS аккаунте, выявляя вредоносную активность. Инструмент анализирует учетную запись AWS, после чего создает Excel-лист, который включает все текущие временные токены. Сводка результатов выводится на экран после каждого запуска.
#tools #aws #ops
Forwarded from k8s (in)security (D1g1)
This media is not supported in your browser
VIEW IN TELEGRAM
PwnChart для Helm 2. Смысл данного чарта состоит в использовании
ClusterRoleBinding, который привязывает к имеющемуся в Pod'е ServiceAccount супер роль cluster-admin. То есть на лицо повышение привилегий в Kubernetes кластере через Helm 2. В чарте можно может быть и другая полезная нагрузка не только ClusterRoleBinding - тут дело только в вашей фантазии. Это возможно в конфигурации helm 2 по умолчанию (отсутствует TLS и X509). Может быть очень полезно например если PodSecurityPolicy, RBAC, NetworkPolicy мешают сделать повышение привилегий, а достучаться до Tiller можно.DevSecOps Reference Architecture.pdf
4.2 MB
DevSecOps Reference Architecture.
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
Безумно крутой подгон от Sonatype. Схематичное описание Secure CI/CD с указанием гейтов от идеи до AppStore.
#bestpractice #dev #ops
The Extended AWS Security Ramp-Up Guide
Подробнее:
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
#aws #ops
Подробнее:
https://research.nccgroup.com/2020/04/24/the-extended-aws-security-ramp-up-guide/
#aws #ops
Guard - Kubernetes Webhook Authentication server
Guard by AppsCode - сервер аутентификации для Kubernetes. Gurad позволяет войти в свой кластер Kubernetes с помощью различных поставщиков аутентификации, а также настраивает группы пользователей соответствующим образом. Это позволяет администратору кластера устанавливать правила RBAC на основе членства в группах.
Guard поддерживает следующие провайдеры аутентификации:
- Static Token File
- Github
- Gitlab
- Google
- Azure
- LDAP using Simple or Kerberos authentication
- Azure Active Directory via LDAP
#k8s #tools #ops
Guard by AppsCode - сервер аутентификации для Kubernetes. Gurad позволяет войти в свой кластер Kubernetes с помощью различных поставщиков аутентификации, а также настраивает группы пользователей соответствующим образом. Это позволяет администратору кластера устанавливать правила RBAC на основе членства в группах.
Guard поддерживает следующие провайдеры аутентификации:
- Static Token File
- Github
- Gitlab
- Azure
- LDAP using Simple or Kerberos authentication
- Azure Active Directory via LDAP
#k8s #tools #ops
Enforcing AWS S3 Security Best Practices Using Terraform & Sentinel
Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)
https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7
#aws #ops
Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)
https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7
#aws #ops
RBAC.dev
Ресурс, в котором размещены лучшие практики и инструменты для настройки RBAC на Kubernetes. Здесь же можно найти статьи, видео, средства визуализации и ссылки на официальную документацию для быстрого поиска.
https://rbac.dev
#k8s #ops
Ресурс, в котором размещены лучшие практики и инструменты для настройки RBAC на Kubernetes. Здесь же можно найти статьи, видео, средства визуализации и ссылки на официальную документацию для быстрого поиска.
https://rbac.dev
#k8s #ops
Forwarded from Мероприятия по ИБ
DevSecOps Leadership Forum Online
Spend a half day with industry peers learning how to bring together software developers and security professionals to remediate open source risk, without slowing down innovation.
Your afternoon includes:
• Automating Secure Software Development at Instinet
• DevSecOps - A Journey in the Insurance Industry
• When Worlds Collide
Дата проведения:
30 апреля 2020 г., | 16:00 - 18:00 (МСК)
Регистрация
#конференция #апрель
@InfoBezEvents
Spend a half day with industry peers learning how to bring together software developers and security professionals to remediate open source risk, without slowing down innovation.
Your afternoon includes:
• Automating Secure Software Development at Instinet
• DevSecOps - A Journey in the Insurance Industry
• When Worlds Collide
Дата проведения:
30 апреля 2020 г., | 16:00 - 18:00 (МСК)
Регистрация
#конференция #апрель
@InfoBezEvents
В силу всеобщей изоляции по всему миру проходит огромное количество онлайн мероприятий. Обо всех знать и сообщать вам я не в состоянии, но лично от себя могу посоветовать канал упомянутый выше @infobezevents - основной канал по мероприятиям, за которым я слежу. Думаю, что подписчикам из сферы ИБ может быть интересно.
(не реклама)
#suggestion
(не реклама)
#suggestion
DefectDojo
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools #dev #ops
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools #dev #ops