OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
DevSecOps & Swordfish Security
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Хочется поделиться несколькими новостями. Первая из них личная и состоит в том, что я стал частью очень крутого коллектива - команды Swordfish Security. Теперь я совместно с ними буду заниматься консалтингом процессов разработки защищенного ПО и внедрения DevSecOps. Это, в свою очередь, означает, что материал на канале будет глубже и проработаннее.
Вот несколько материалов от ребят из Swordfish Security на русском языке:
- Страх и ненависть DevSecOps / Юрий Шабалин
- DevSecOps: tips and tricks
- "AppSec как код" offzone 2018
- "Когда охотник становится жертвой" offzone2019
- AppSec, ключ на старт! / Юрий Сергеев
- DevSecOps или как встроить проверки информационной безопасности в микросервисы.
- Безопасность Docker
- Обзор утилит безопасности Docker
#bestpractice #tools #docker #talks #dev #ops
Swordfish Security.
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.
Awesome DevSecOps
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Большие подборки ресурсов по DevSecOps и AppSec. Здесь можно найти инструменты, доклады, все существующие конференции по каждой теме, подкасты, гайдлайны, фреймворки и так далее.
DevSecOps
Application Security
Web Security
Cybersecurity Blue Team
Fuzzing
Threat modeling
Static Analysis
Dynamic Analysis
А еще есть русская версия Awesome DevSecOps.
#tools #bestpractice #web #fuzzing #sast #dast #dev #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev