OpenRASP - Runtime Application Self-Protection
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
Continuous Secure Delivery - Secure code Box
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
SecureCodeBox - open-source фреймворк, объединяющий несколько бесплатных инсрументов сканирования (ZAP, NMAP, Nikto, Arachni), собранных вместе в docker-compose в связке с kibana и elasticsearch. В отличие от того же DefectDojo, здесь все инструменты развертываются вместе с решением, и репорты из сканеров подтягиваются сами (не нужно писать скрипты для автоматической отправки issue в сборщик). Также можно запускать сканирование всех заявленных инструментов из UI. На текущий момент инструменты направлены исключительно на тестирование веба.
Несмотря на кажущуюся простоту развертывания и работы, разработчики заявляют, что это не one-button-click-solution и требуется глубокое понимание для настройки сканеров.
#web #tools #ops #dev
Authentication Token Obtain and Replace (ATOR) Burp Plugin
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
ATOR - полезный плагин для Burp, позволяющий прорабатывать сценарии атак, задействующие CSRF токены, API, использующие токены аутентификации, JWT, чего как правило не умеют делать автоматизированные сканеры веб-приложений.
Подробнее про работу плагина и то, как им пользоваться.
Помимо RedTeam, Burp также активно применяется в качестве DAST для тестирования веб-приложений. Вот список других полезных для него плагинов (есть в том числе на проверку AWS):
Список полезных плагинов для BurpSuite
Интеграция Burp Suite в CI/CD (Jenkins)
#tools #dast #web #dev #attack
Understanding API Security, Justin Richer and Antonio Sanso
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Неплохая книга по защите API в открытом доступе:
https://www.manning.com/books/understanding-api-security
#literature #web #ops #dev
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Advanced API Security_ OAuth 2.0 And Beyond.pdf
11.8 MB
Advanced API Security
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Еще одна книга по безопасности API в придачу к этой.
Вот также несколько полезных ссылок по OAuth2.0:
Penetration Tester's Guide to Evaluating OAuth 2.0 - все, что надо знать по OAuth с точки зрения безопасности и процесса предоставления кода авторизации
Introduction to OAuth 2.0 and OpenID Connect - бесплатная 2-ух часовая лекция по OAuth 2.0
Introducing the OAuth 2.0 Flow Simulator - симулятор потока данных к лекции выше
OAuth 2.0 Playground - разбор этапов OAuth 2.0 шаг за шагом
#web #literature #dev #ops
Web Security for Developers.epub
18.7 MB
Web Security for Developers
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
Книга, объясняющая все основные атаки на веб с точки зрения разработчика с упором на код (injection, XSS, CSRF, compomised auth, session hijacking и тд) . Первая часть также даст азы для начинающих о том, как работает веб, что из себя представляет тестирование, SDLC, DevOps.
Особенно полезно будет для AppSec.
#dev #literature #web
OWASP API Security Top 2019 на русском
Подписчик Eugene Rojavski скинул результат собственного перевода OWASP API Security Top 2019, выполненного совместно с его командой (act1on3, keni0k). Перевод уже стал частью официального репо OWASP.
"Несмотря на то, что более обширный Web Application Security Risks Top 10 по прежнему актуален, ввиду специфики API, необходим отдельный список рисков безопасности специфичных для API. Безопасность API фокусируется на стратегиях и решениях, направленных на понимание и предотвращение уникальных уязвимостей и рисков безопасности, связанных с использованием API."
#dev #web #attack
Подписчик Eugene Rojavski скинул результат собственного перевода OWASP API Security Top 2019, выполненного совместно с его командой (act1on3, keni0k). Перевод уже стал частью официального репо OWASP.
"Несмотря на то, что более обширный Web Application Security Risks Top 10 по прежнему актуален, ввиду специфики API, необходим отдельный список рисков безопасности специфичных для API. Безопасность API фокусируется на стратегиях и решениях, направленных на понимание и предотвращение уникальных уязвимостей и рисков безопасности, связанных с использованием API."
#dev #web #attack
Twitter
Eugene Rojavski (@EugeneRojavski) | Twitter
The latest Tweets from Eugene Rojavski (@EugeneRojavski). AppSec researcher at Checkmarx
Introduction to OWASP Top 10 2021
OWASP выпустили драфт документа OWASP Top 10 2021!
Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery
Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.
В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.
#web #dev
OWASP выпустили драфт документа OWASP Top 10 2021!
Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery
Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.
В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.
#web #dev