Nuclei and DevSecOps
Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).
Прилагаю также дополнительный полезный материал на тему Nuclei:
- Exploiting Race conditions with Nuclei
- How to Scan Continuously with Nuclei?
- Nuclei - Fuzz all the things
#dev #ops #attack #dast
Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).
Прилагаю также дополнительный полезный материал на тему Nuclei:
- Exploiting Race conditions with Nuclei
- How to Scan Continuously with Nuclei?
- Nuclei - Fuzz all the things
#dev #ops #attack #dast
Jenkins attack framework
Инструмент для тестирования безопасности Jenkins от Accenture - jenkins-attack-framework. Инструмент работет как white box и требует URL сервера и агента, username, password или API-токен. Среди атак попытка просмотра и запуска джоб и скриптов, дамп кредов, загрузка файлов.
Есть также сопровождающая статья:
- Red teaming Jenkins with the Jenkins Attack Framework
#dev #ops #attack
Инструмент для тестирования безопасности Jenkins от Accenture - jenkins-attack-framework. Инструмент работет как white box и требует URL сервера и агента, username, password или API-токен. Среди атак попытка просмотра и запуска джоб и скриптов, дамп кредов, загрузка файлов.
Есть также сопровождающая статья:
- Red teaming Jenkins with the Jenkins Attack Framework
#dev #ops #attack
GitHub
GitHub - Accenture/jenkins-attack-framework
Contribute to Accenture/jenkins-attack-framework development by creating an account on GitHub.