Уязимости веб-приложений.png
765.6 KB
"Безопасность веб-приложений" Эльдар Заитов" - Школа информационной безопасности Яндекс 2018.
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
building-web-apps-that-respect-user-privacy-and-security.pdf
17.7 MB
"Building Web Apps
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
Csper Builder - Автоматическая генерация Content Security Policy
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Stanford - Web Security
Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.
https://web.stanford.edu/class/cs253/
#web #dev #ops
Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.
https://web.stanford.edu/class/cs253/
#web #dev #ops
Automatic API Attack Tool
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
GitHub
GitHub - imperva/automatic-api-attack-tool: Imperva's customizable API attack tool takes an API specification as an input, generates…
Imperva's customizable API attack tool takes an API specification as an input, generates and runs attacks that are based on it as an output. - imperva/automatic-api-attack-tool
This media is not supported in your browser
VIEW IN TELEGRAM
InQL Scanner - tool to ease testing of GraphQL
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
Hacktory
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
hacktory.ai
Hacktory | Immersive cybersecurity educational platform
Hacktory are professional AppSec, Red and Blue Teams developing their online learning platform. Create an account to get started.
OpenRASP - Runtime Application Self-Protection
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
Continuous Secure Delivery - Secure code Box
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
Authentication Token Obtain and Replace (ATOR) Burp Plugin
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
Understanding API Security, Justin Richer and Antonio Sanso
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Advanced API Security_ OAuth 2.0 And Beyond.pdf
11.8 MB
Advanced API Security
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops