Dagda
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
Dagda - инструмент для анализа уязвимостей, троянов, вирусов, вредоносного ПО в образах и контейнерах Docker, а также для выявления аномальной активности контейнеров.
При инициализации загружает базу уязвимостей (CVE, BIG, RHSA, RHBA) в базу MongoDB, с которой в дальнейшем сравнивает версии пакетов, установленные в образе. В качестве антивирусного ядра использует ClamAV, а для поиска аномальной активности Falco. Для анализа зависимостей используются DependencyCheck и Retire.js
#tool #docker #k8s #ops
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому серверу (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указанием на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acunetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast #dev
Acunetix
What Is IAST (Interactive Application Security Testing) | Acunetix
Interactive Application Security Testing (IAST) is a term for tools that combine the advantages of Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST).
Kubernetes - Open Policy Agent, Gatekeeper and Pod Security Policies
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa
Open Policy Agent (GitHub) предоставляет высокоуровневый декларативный язык для создания и применения политик в вашем облачном стеке технологий.
С помощью OPA можно определить правила, задающие поведение вашей системы. Эти правила существуют для ответа на такие вопросы, как:
- Может ли пользователь X вызвать операцию Y на ресурсе Z?
- В каких кластерах должна быть развернута рабочая нагрузка?
- Какие теги должны быть установлены на ресурсе R перед его созданием?
Например, в случае использования простой авторизации API:
- Вы пишете правила, которые разрешают (или запрещают) доступ к API вашего сервиса.
- Ваш сервис запрашивает OPA, когда получает запросы API.
- OPA возвращает разрешенные (или отклоняющие) решения к вашим услугам.
- Ваша служба обеспечивает выполнение решений, соответственно принимая или отклоняя запросы.
Статья на русском про OPA и SPIFFE от Флант
Gatekeeper - инструмент, позволяющий задавать политики OPA в качестве Custom Resource Definitions (CRDs) и управлять ими как ресурсами Kubernetes. Также есть функционал аудита этих политик.
Использование Gatekeeper в Kubernetes
Настройка Pod Security Policy через OPA:
Kubernetes Pod Security Policies with Open Policy Agent
#k8s #toos #ops #opa
xa-253-страницы-7-8.pdf
2.6 MB
"Хак в один клик: сравниваем возможности автоматических сканеров уязвимостей"
В апрельском журнале Хакер вышла обзорная статья про сканеры уязвимостей. В их число входят сканеры веб-приложений, анализаторы мобильных приложений, статические анализаторы и сканеры образов. Для каждого инструмента описан порядок установки и эксплуатации. В конце есть сводная таблица.
Запросить журнал: @Hacker_helpbot
#tools #dev
В апрельском журнале Хакер вышла обзорная статья про сканеры уязвимостей. В их число входят сканеры веб-приложений, анализаторы мобильных приложений, статические анализаторы и сканеры образов. Для каждого инструмента описан порядок установки и эксплуатации. В конце есть сводная таблица.
Запросить журнал: @Hacker_helpbot
#tools #dev
Forwarded from Технологический Болт Генона
Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security assessment. This blogpost presents our findings.
Ansible Security Assessment
https://blog.quarkslab.com/ansible-security-assessment.html
Quarkslab
Ansible Security Assessment - Quarkslab's blog
Ansible is an open-source software automating configuration management and software deployment. Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security…
How to setup Vault with Kubernetes
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Сравнение Prisma Cloud Compute и Aqua CSP
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
Совместно с нашей командой опубликовали в открытом доступе сравнение двух ключевых "коробочных" entreprise решений на российском рынке по защите контейнеров - Aqua CSP от Aqua Security и Prisma Cloud Compute от Palo Alto Networks.
Сравниваем архитектуру, компоненты, возможность написания правил, функционал по контролю run-time, интеграции и много другое.
В статье также можно почитать про риски и архитектуру решений.
https://www.anti-malware.ru/reviews/Application-containers-security-risks-and-key-security-solutions
#tools #k8s #dev #ops
A toolkit for validating, forging and cracking JWTs
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
jwt tool - инструмент для проверки JWT-токенов. Инструмент позволяет проверить токен на действительность, наличие известных эксплоитов, правильность секретного / открытого ключа JWKS, выявить слабые ключи и другое.
Инструмент также включает в себе JWT Attack Playbook с подробностями об известных типах уязвимостей, неправильной конфигурации JWT и методологией для атаки.
#tools #dev
GitHub
GitHub - ticarpi/jwt_tool: :snake: A toolkit for testing, tweaking and cracking JSON Web Tokens
:snake: A toolkit for testing, tweaking and cracking JSON Web Tokens - ticarpi/jwt_tool
This media is not supported in your browser
VIEW IN TELEGRAM
Starboard - Kubernetes-native security tool kit
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Starboard - бесплатный инструмент от Aqua Security, позволяющий нативно интегрировать инструменты безопасности в среду Kubernetes благодаря CustomResourceDefinitions (CRDs) и модулю Go для работы с такими инструментами как trivy, kubebench, kubehunter. Starboard предоставляет также kubectl-совместимый инструмент командной строки и плагин Octant, который делает отчеты о безопасности доступными через знакомые инструменты Kubernetes.
#tools #k8s #ops
Forwarded from Пятничный деплой
Репозиторий с примерами OWASP практик для Golang https://github.com/OWASP/Go-SCP/tree/master/src #golang #security
GitHub
Go-SCP/src at master · OWASP/Go-SCP
Golang Secure Coding Practices guide. Contribute to OWASP/Go-SCP development by creating an account on GitHub.
Docker-Slim
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools #ops
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Новости уже неделя, но лучше поздно, чем никогда. GitLab заявила о покупке Peach Tech и Fuzzit. Это означает, что в недалеком будущем в GitLab Secure появится возможность осуществления фаззинга и поведенческого тестирования API в CI/CD-конвейере. Кроме того, интеграция новых решений позволит GitLab ускорить разработку своей дорожной карты для интерактивного тестирования безопасности приложений (IAST).
На текущий момент GitLab позиционируется как нишевой игрок в отчете Gartner Magic Quadrant 2020 года по тестированию безопасности приложений (AST).
О других инструментах, входящих в Gitlab Secure.
#news #fuzzing #dast #dev
Gitlab
GitLab Acquires Peach Tech and Fuzzit to Expand its DevSecOps Offering
Acquisitions will make GitLab the first security solution to offer both coverage-guided and behavioral fuzz testing
Forwarded from Mobile AppSec World
Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум 😄
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне - push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное - Уведомления отображаются на заблокированных устройствах
Приватное - Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное - Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и "подписал" сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один - SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант 🧐
#Android #iOS #TwoFactor #OTP
Кстати автор @mobile_appsec_world является также создателем проекта Stingray, который занял 4 место в Cybersecurity Challenge 2020.
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
Stingray является инструментом для поиска дефектов безопасности мобильного приложения, а также несоответствия стандартам (например MASVS, PCI DSS)
А еще есть возможность познакомиться с демо решения:
https://demo.stingray.appsec.global/
#tools #mobile #dev
OWASP - Component Analysis
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Страница на OWASP, опубликованная пару месяцев назад и посвященная безопасности сторонних компонентов - Component Analysis. На странице можно прочитать про факторы риска использования стороних компонентов, рекомендации, C-SCRM, полезные пункты для добавления в политику безопасности, а также перечень инструментов, как open-source, так и commercial.
https://owasp.org/www-community/Component_Analysis
#tools #sca #dev
Cloud Pentesting Cheatsheet.pdf
151.8 KB
Cloud Pentest Cheatsheets
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)
Полезно будет не только для red team. Прикладываю в формате pdf.
#aws #azure #gcp #tools #ops #attack
Security_Automation_with_Ansible_2_Leverage_Ansible_2_to_automate.pdf
17.2 MB
Securing Automation with Ansible 2
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature #ops
Introduction to GKE Kubelet TLS Bootstrap Privilege Escalation
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack
До этого мы говорили про фреймворк MITRE ATT & CK для описания поведения злоумышленника на разных стадиях атаки на облачные среды и k8s. Сегодня мы посмотрим, как на эту матрицу ложится атака по повышению привилегий в GCP через GKE Kubelet и TLS Bootstrap.
Вывод статьи - соблюдайте принцип наименьших привилегий.
https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/
#gcp #k8s #ops #attack