How to setup Vault with Kubernetes
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Сравнение Prisma Cloud Compute и Aqua CSP
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
A toolkit for validating, forging and cracking JWTs
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
GitHub
GitHub - ticarpi/jwt_tool: :snake: A toolkit for testing, tweaking and cracking JSON Web Tokens
:snake: A toolkit for testing, tweaking and cracking JSON Web Tokens - ticarpi/jwt_tool
This media is not supported in your browser
VIEW IN TELEGRAM
Starboard - Kubernetes-native security tool kit
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Forwarded from Пятничный деплой
Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security
GitHub
Go-SCP/src at master · OWASP/Go-SCP
Golang Secure Coding Practices guide. Contribute to OWASP/Go-SCP development by creating an account on GitHub.
Docker-Slim
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
Forwarded from Mobile AppSec World
Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум 😄
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Кстати автор @mobile_appsec_world является также создателем проекта Stingray, который занял 4 место в Cybersecurity Challenge 2020.
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
OWASP - Component Analysis
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Security_Automation_with_Ansible_2_Leverage_Ansible_2_to_automate.pdf
17.2 MB
Securing Automation with Ansible 2
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Introduction to GKE Kubelet TLS Bootstrap Privilege Escalation
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
Backend United #6: Табаско — разработчики о безопасности
Идет с 18:00. Круто видеть такое в русскоговорящем комьюнити, подключаемся :)
[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако
https://youtu.be/dsJN9J1rV6o
#talks #dev #ops
Идет с 18:00. Круто видеть такое в русскоговорящем комьюнити, подключаемся :)
[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако
https://youtu.be/dsJN9J1rV6o
#talks #dev #ops
YouTube
Backend United #6: Табаско | Разработчики о безопасности
На митапе Backend United #6 мы говорили об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые ведут к проблемам с секьюрностью:
7:00 — 44:55 | Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев…
7:00 — 44:55 | Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев…
Introducing Piranha: An Open Source Tool to Automatically Delete Stale Code
Piranha - open-source инструмент от Uber для автоматического рефакторинга кода. Рефакторинг происходит за счет меток, проставляемых разработчиками в коде. Удаление кода, окруженного специальной меткой, позволяет избавиться от устаревшего, неиспользуемого и временного участка кода. Кроме повышения эффективности разработчиков, сокращения времени сборки и размера бинаря, инструмент позволяет увеличить безопасность кода приложения. На текущий момент поддерживается Java, Objective C, Swift.
О том, как Uber применил Piranha для своих мобильных приложений
Исследования и академические выводы об инструменте
6-и минутный ролик
#tools #mobile #dev
Piranha - open-source инструмент от Uber для автоматического рефакторинга кода. Рефакторинг происходит за счет меток, проставляемых разработчиками в коде. Удаление кода, окруженного специальной меткой, позволяет избавиться от устаревшего, неиспользуемого и временного участка кода. Кроме повышения эффективности разработчиков, сокращения времени сборки и размера бинаря, инструмент позволяет увеличить безопасность кода приложения. На текущий момент поддерживается Java, Objective C, Swift.
О том, как Uber применил Piranha для своих мобильных приложений
Исследования и академические выводы об инструменте
6-и минутный ролик
#tools #mobile #dev
Forwarded from k8s (in)security (D1g1)
Kubernetes опубликовал "Pod Security Standards", где подробно объясняет какие настройки, когда, где и как использовать в Pod Security Policy. Для этого они все политики разделили на 3 типа:
- Privileged - неограниченная политика, предоставляющая большую свободу, позволяет проводить хорошо известные поднятия привилегий.
- Baseline/Default - минимально закручиваем гайки чтобы предотвратить хорошо известные поднятия привилегий.
- Restricted - максимально закручиваем гайки.
- Privileged - неограниченная политика, предоставляющая большую свободу, позволяет проводить хорошо известные поднятия привилегий.
- Baseline/Default - минимально закручиваем гайки чтобы предотвратить хорошо известные поднятия привилегий.
- Restricted - максимально закручиваем гайки.
Understanding API Security, Justin Richer and Antonio Sanso
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
OPA Image Scanner admission controller
OPA Image Scanner совмещает Sysdig Secure image scanner c языком Open Policy Agent, что позволяет задавать более сложные политики для приема образов в кластер, чем просто использование сканирования образов на базе информации о реестре, имени образа и тега. Например, всегда допускать развертывание образов в определенных пространствах имен ("Dev").
Про Sysdig OPA Image Scanner в блоге Sysdig
#tools #k8s #docker #ops #opa
OPA Image Scanner совмещает Sysdig Secure image scanner c языком Open Policy Agent, что позволяет задавать более сложные политики для приема образов в кластер, чем просто использование сканирования образов на базе информации о реестре, имени образа и тега. Например, всегда допускать развертывание образов в определенных пространствах имен ("Dev").
Про Sysdig OPA Image Scanner в блоге Sysdig
#tools #k8s #docker #ops #opa
Validating Kubernetes YAML for best practice and policies
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s #dev #ops
DAST operator
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev
DAST operator - open-source инструмент, цель которого упростить запуск OWASP ZAP, запуская ZAP в качестве оператора Kubernetes. Сам OWASP ZAP деплоится в виде custom resources. Недавно разработчики анонсировали, что теперь dast-operator может принимать определения OpenAPI для сканирования. Согласно roadmap инструмент должен будет поддерживать также SQLmap, тестирование API и фаззинг.
https://banzaicloud.com/blog/auto-dast-openapi/
#tools #dast #k8s #dev