Главная фишка релиза — семантическое управление версиями. Оно предназначено для компонентов в каталоге CI/CD. Также добавили управление доступом GitLab Duo, совершенно новые шаблоны для Wiki и интеграцию ClickHouse для высокопроизводительной DevOps-аналитики. Всего более 90 улучшений.
Познакомьтесь с релизом здесь и поделитесь с коллегами 🤝
#devops #gitlab #gitlab1610
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4👾3
Продолжаем делиться опытом через книги.
👉 Сегодня это — Высоконагруженные приложения. Программирование, масштабирование, поддержка | Клеппман Мартин
Ключевые принципы, алгоритмы и компромиссы, без которых не обойтись при разработке высоконагруженных систем для работы с данными. Все рассматривается на примере внутреннего устройства популярных программных пакетов и фреймворков.
Прочитав эту книгу, вы легко ответите на многие вопросы в техническом интервью по базам данных.
Читайте и делитесь с коллегами 🤝
#devops #devopsbooks
@DevOpsKaz
👉 Сегодня это — Высоконагруженные приложения. Программирование, масштабирование, поддержка | Клеппман Мартин
Ключевые принципы, алгоритмы и компромиссы, без которых не обойтись при разработке высоконагруженных систем для работы с данными. Все рассматривается на примере внутреннего устройства популярных программных пакетов и фреймворков.
Прочитав эту книгу, вы легко ответите на многие вопросы в техническом интервью по базам данных.
Читайте и делитесь с коллегами 🤝
#devops #devopsbooks
@DevOpsKaz
👍9🔥4⚡3❤3👎1
По сути — центр для мониторинга работоспособности и безопасности приложений и сети кластера. Retina собирает данные телеметрии, которые можно экспортировать в Prometheus, Azure Monitor и другие поставщики. А потом визуализировать в Grafana, Azure Log Analytics или где-то еще.
Retina позволяет исследовать проблемы сети по требованию и постоянно контролировать ваши кластеры.
👉 Посмотреть на GitHub
Пользуйтесь и делитесь с коллегами 🤝
#devops #devopsbooks
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4⚡3👍3🔥3👾2
👉 Попробуйте себя в сценариях дебага Linux-серверов и задачами, связанными с Kubernetes, Docker, Nginx, Apache, MySQL.
Есть простой уровень, средний и настоящий хардкор. Придется что-то делать, чинить или хакать.
Вот пример одной задачи:
Разработчик создал базу данных «main», но в ней отсутствуют некоторые данные. Вам необходимо восстановить базу данных, используя дамп "/home/admin/backup.sql". Проблема в том, что разработчик забыл пароль root для сервера MariaDB. Если вы столкнулись с проблемой при восстановлении базы данных, исправьте ее.
#devops #linux #kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍6❤3⚡2
Это ежегодная IT-конференция от Beeline Казахстан для продактов, agile-коучей, скрамов, разработчиков, QA-инженеров, безопасников, аналитиков и data-сайентистов.
📌 В этом году beetech conf 2024 это:
Эксперты Beeline Казахстан и других компаний отбирают сильные доклады и совсем скоро темы будут опубликованы на сайте.
👉 Покупайте билет по early bird price до 1 апреля за 10 000 тенге на официальном сайте https://beetech.kz/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4🔥4⚡2👎1
Forwarded from Just Security
РУКОВОДСТВО ПО ЦЕНООБРАЗОВАНИЮ ПЕНТЕСТОВ
Подготовили для вас полное подробное руководство по ценообразованию пентест-проектов со всеми инфографиками и таблицами, где наглядно показано соотношение рисков и ресурсов, зрелость ИБ-процессов и модель злоумышленника, грейды специалистов и уровень оплаты труда.
👉 https://pricing.awillix.ru/ 👈
В конце есть тест, который поможет первично оценить уровень зрелости информационной безопасности в вашей компании и получить базовые рекомендации для его улучшения.
🔣 Это еще один наш вклад в развитие рынка. Надеемся, что такой артефакт станет доступным и простым инструментом для более легкого и зрелого диалога между бизнесом и его кибербезопасностью.
Подготовили для вас полное подробное руководство по ценообразованию пентест-проектов со всеми инфографиками и таблицами, где наглядно показано соотношение рисков и ресурсов, зрелость ИБ-процессов и модель злоумышленника, грейды специалистов и уровень оплаты труда.
В конце есть тест, который поможет первично оценить уровень зрелости информационной безопасности в вашей компании и получить базовые рекомендации для его улучшения.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4⚡2❤2
CORE 24/7 и KazDevOps ищут автора статей по DevOps
Что нужно делать:
— Писать статьи для блога по DevOps, SRE, Cloud Migration, Big Data, Web 3.0, Kubernetes, Docker, Grafana, Terraform, jFrog или другим технологиям, с которыми вы умеете работать
— Писать четко и по делу, рассказывать о лучших практиках и инструментах
— Делать это по плану или предлагать свои темы
Условия работы:
— Свободный график
— Не менее 5 статей в месяц
— Оплата за статью обсуждается
Для отклика напишите @shadofonspace в личку
Что нужно делать:
— Писать статьи для блога по DevOps, SRE, Cloud Migration, Big Data, Web 3.0, Kubernetes, Docker, Grafana, Terraform, jFrog или другим технологиям, с которыми вы умеете работать
— Писать четко и по делу, рассказывать о лучших практиках и инструментах
— Делать это по плану или предлагать свои темы
Условия работы:
— Свободный график
— Не менее 5 статей в месяц
— Оплата за статью обсуждается
Для отклика напишите @shadofonspace в личку
💩9👍5🔥3🤮3
Разработчикам нужен быстрый способ настройки среды приложений. Опсам — легкая установка кластера с высокой доступностью и надежными обновлениями. В облаке важна автоматизация жизненного цикла кластера для интеграций приложений.
👉 Дистрибутивы Charmed Kubernetes и MicroK8s созданы, чтобы оправдать эти разные ожидания. Они просты в установке и обслуживании.
Canonical Kubernetes станет третьим дистрибутивом и основой для будущих выпусков MicroK8 и Charmed Kubernetes.
Дистрибутивы основаны на Kubernetes 1.30, имеют несколько встроенных надстроек, а установить их можно с помощью
snap.#devops #kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡3👍3❤2🔥2
Lead DevOps в IT‑интеграторе Hilbert Team рассказал, как они используют возможности #ClickHouse для эффективного долгосрочного хранения метрик #Prometheus.
👉 В статье вы найдете рекомендации по использованию инструмента и описание альтернативных решений, таких как Thanos, Grafana Mimir и Victoria Metrics.
ClickHouse доступен в managed‑решениях в облаках, поддерживает SQL и распределение метрик по разным шардам, что обеспечивает удобную работу с Prometheus. Все это делает ClickHouse хорошим решением для компаний, которые уже используют его в качестве основы своей аналитической инфраструктуры и хотят обогатить свою аналитику метриками Prometheus.
@DevOpsKaz
👉 В статье вы найдете рекомендации по использованию инструмента и описание альтернативных решений, таких как Thanos, Grafana Mimir и Victoria Metrics.
ClickHouse доступен в managed‑решениях в облаках, поддерживает SQL и распределение метрик по разным шардам, что обеспечивает удобную работу с Prometheus. Все это делает ClickHouse хорошим решением для компаний, которые уже используют его в качестве основы своей аналитической инфраструктуры и хотят обогатить свою аналитику метриками Prometheus.
@DevOpsKaz
👍7🔥4❤3⚡2
📌 Cyber and Digital Security – 2024 поможет найти ответы на любые вопросы по кибербезопасности
Особенно, если знать, кому их задавать.
На передний план остро вышла тема промышленной кибербезопасности, защиты объектов КВОИКИ, государства и корпораций.
Каждый день, пробираясь между проверками на крепость AirGap, пытаясь накатить патчи в промышленном контуре, упираясь в сложности моделирования промышленных кибератак, защищая ключевые задачи ИБ перед руководителями АСУ, проверяя на безопасность поставщиков, курсируя между минами фишинговых кампаний, CIO и CISO промышленного предприятия не устают задавать себе вопрос:а нам это надо? Готовы ли мы к этим вызовам? Откуда придет следующий удар? Кто стоит за атакой на мой объект КВОИКИ?
Пришло время задать вопросы коллегам по отрасли, экспертам и практикам, а во многом — регуляторам и надзорным органам. Все это можно сделать в апреле на Cyber and Digital Security – 2024.
📆 Когда: 3-5 апреля 2024 года.
📍Где: Астана, МВЦ «Экспо»
Что послушать
👉 3 сессии кей-ноутов (4 апреля) — Промышленная и корпоративная инфраструктура, ИТ/ОТ данные и информационные системы, бизнес-партнерства и сервисные модели на производстве и не только
👉 2 дня лектория (топ-лекции, тренинги и кейсы, демо и воркшопы) (3 и 4 апреля)
👉 2 дня медиа-юрты (интервью из первых уст от первых лиц в прямом эфире)
💡 Кому задать вопросы
4 панельные сессии – Регуляторы и власть, Руководители ОЦИБ, Женщины в ИБ, Развитие человеческого капитала
💬 С кем поговорить в кулуарах
СЕО и Зампреды, Безопасники и ИТ-директора, рисковики и финансисты, СТО и тим-лиды, и конечно, везде — пентестеры и исследователи безопасности
📣 О чем поговорить
Риски и недопустимые события в промышленности и корпоративе, результативная безопасность и утечки данных в промышленном секторе, развитие кадров в ИБ и повышение киберграмотности, безопасная разработка и защита промышленности и объектов КВОИКИ.
🚀 Регистрация: https://cds-forum.kz/
Выбирайте пакет «Базовый», вводите промокод EPCDS1 — и вот вы уже гость форума
Особенно, если знать, кому их задавать.
На передний план остро вышла тема промышленной кибербезопасности, защиты объектов КВОИКИ, государства и корпораций.
Каждый день, пробираясь между проверками на крепость AirGap, пытаясь накатить патчи в промышленном контуре, упираясь в сложности моделирования промышленных кибератак, защищая ключевые задачи ИБ перед руководителями АСУ, проверяя на безопасность поставщиков, курсируя между минами фишинговых кампаний, CIO и CISO промышленного предприятия не устают задавать себе вопрос:
Пришло время задать вопросы коллегам по отрасли, экспертам и практикам, а во многом — регуляторам и надзорным органам. Все это можно сделать в апреле на Cyber and Digital Security – 2024.
📆 Когда: 3-5 апреля 2024 года.
📍Где: Астана, МВЦ «Экспо»
Что послушать
👉 3 сессии кей-ноутов (4 апреля) — Промышленная и корпоративная инфраструктура, ИТ/ОТ данные и информационные системы, бизнес-партнерства и сервисные модели на производстве и не только
👉 2 дня лектория (топ-лекции, тренинги и кейсы, демо и воркшопы) (3 и 4 апреля)
👉 2 дня медиа-юрты (интервью из первых уст от первых лиц в прямом эфире)
💡 Кому задать вопросы
4 панельные сессии – Регуляторы и власть, Руководители ОЦИБ, Женщины в ИБ, Развитие человеческого капитала
💬 С кем поговорить в кулуарах
СЕО и Зампреды, Безопасники и ИТ-директора, рисковики и финансисты, СТО и тим-лиды, и конечно, везде — пентестеры и исследователи безопасности
📣 О чем поговорить
Риски и недопустимые события в промышленности и корпоративе, результативная безопасность и утечки данных в промышленном секторе, развитие кадров в ИБ и повышение киберграмотности, безопасная разработка и защита промышленности и объектов КВОИКИ.
🚀 Регистрация: https://cds-forum.kz/
Выбирайте пакет «Базовый», вводите промокод EPCDS1 — и вот вы уже гость форума
🔥5😎5👍4⚡3❤2
Он устанавливается как дополнительный модуль и определяет оптимальную память для каждого контейнера в модуле.
👉 Подробности и инструкции прилагаются
#devops #kubernetes #k8s #memory
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - unagex/kondense: Automated resources sizing tool for containers in kubernetes
Automated resources sizing tool for containers in kubernetes - unagex/kondense
🔥3👍2
Запись митапа «Как использовать облачные PaaS-сервисы, проектировать современную архитектуру и быть Cloud-Native» от 14 марта
Поговорили об использовании современных облачных технологий: ML и других PaaS-сервисов. Спикеры поделились трендами, кейсами и рассказали, как быстро и эффективно разворачивать инструменты, выстраивать процессы и работать с командой.
В программе:
➖ Cloud Native и Cloud Agnostic — два важных подхода к разработке облачных приложений в 2024 году.
➖ Вызовы при построении сервисов на основе Machine Learning и решения: опыт VK Cloud
➖ Архитектура PaaS-сервиса
➖ Нетворкинг
От нас (Core 24/7 и KazDevOps) выступил Арман Нургалиев, Cloud Architect.
Арман вещал на темы:
➖ Обзор подходов к построению архитектуры
➖ Как выбрать между Cloud Native и Cloud Agnostic
➖ Какие инструменты используются в 2024 году
➖ Какие решения используют наши клиенты в Казахстане
👉 Смотреть запись
Поговорили об использовании современных облачных технологий: ML и других PaaS-сервисов. Спикеры поделились трендами, кейсами и рассказали, как быстро и эффективно разворачивать инструменты, выстраивать процессы и работать с командой.
В программе:
От нас (Core 24/7 и KazDevOps) выступил Арман Нургалиев, Cloud Architect.
Арман вещал на темы:
➖ Обзор подходов к построению архитектуры
➖ Как выбрать между Cloud Native и Cloud Agnostic
➖ Какие инструменты используются в 2024 году
➖ Какие решения используют наши клиенты в Казахстане
👉 Смотреть запись
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥5❤2👾2
В последние несколько лет на передний план вышла тема кибербезопасности предприятий и корпораций, субъектов государственной власти и объектов критической инфраструктуры (КВОИКИ).
Новостную ленту сотрясают новости об утечках данных внутри государства и атаках на системы и сети извне, и первые лица компаний, финансисты, рисковики, ведущие руководители направлений и департаментов задаются вопросом, а готова ли организация к таким вызовам?
Наши друзья и партнеры, оргкомитет международного форума Cyber & Digital Security – 2024, подготовили ответы на такие вопросы, и 3-4 апреля 2024 года приглашают аудиторию нашего сообщества принять участие в деловой программе форума.
Именно в этом году Cyber & Digital Security, профильный конгресс кибербезопасности, выходит на абсолютно новый уровень бизнес-коммуникаций, включив в деловую программу с 3 по 5 апреля 2024 года:
👉 3 одновременных деловых потока
👉 4 разнообразные панельные дискуссии
👉 2 дня уникальных форматов Лектория (самые интересные доклады от исследователей и практиков) и Медиа-Юрты (прямые эфиры с первыми лицами рынка, отрасли и государства)
👉 2 дня практических сессии
👉 отдельный медиа-трек прямых трансляций с интервью первых лиц компаний и медиацентр для журналистов.
В рамках форума у участников будет возможность:
💡 обсудить самые острые кейсы национальной и корпоративной кибербезопасности
💡получить понимание об использовании новых технологий в бизнесе, промышленности и органах власти
💡лично увидеть самые актуальные сценарии кибератак и способы их отражения
💡ознакомиться с новыми принципами безопасности инфраструктуры, увидеть воочию процесс работы с средствами киберрасследований, аналитики и киберразведки.
На закрытой площадке будет самое полезное: руководителям, финансистам и рисковикам покажут эффективную сторону практической кибербезопасности, дадут возможность оценить риски, финансовые и имиджевые потери.
🚀 Регистрация: https://cds-forum.kz/
Выбирайте пакет «Базовый», вводите промокод SPCDS1 — и вот вы уже гость форума
Новостную ленту сотрясают новости об утечках данных внутри государства и атаках на системы и сети извне, и первые лица компаний, финансисты, рисковики, ведущие руководители направлений и департаментов задаются вопросом, а готова ли организация к таким вызовам?
Наши друзья и партнеры, оргкомитет международного форума Cyber & Digital Security – 2024, подготовили ответы на такие вопросы, и 3-4 апреля 2024 года приглашают аудиторию нашего сообщества принять участие в деловой программе форума.
Именно в этом году Cyber & Digital Security, профильный конгресс кибербезопасности, выходит на абсолютно новый уровень бизнес-коммуникаций, включив в деловую программу с 3 по 5 апреля 2024 года:
👉 3 одновременных деловых потока
👉 4 разнообразные панельные дискуссии
👉 2 дня уникальных форматов Лектория (самые интересные доклады от исследователей и практиков) и Медиа-Юрты (прямые эфиры с первыми лицами рынка, отрасли и государства)
👉 2 дня практических сессии
👉 отдельный медиа-трек прямых трансляций с интервью первых лиц компаний и медиацентр для журналистов.
В рамках форума у участников будет возможность:
💡 обсудить самые острые кейсы национальной и корпоративной кибербезопасности
💡получить понимание об использовании новых технологий в бизнесе, промышленности и органах власти
💡лично увидеть самые актуальные сценарии кибератак и способы их отражения
💡ознакомиться с новыми принципами безопасности инфраструктуры, увидеть воочию процесс работы с средствами киберрасследований, аналитики и киберразведки.
На закрытой площадке будет самое полезное: руководителям, финансистам и рисковикам покажут эффективную сторону практической кибербезопасности, дадут возможность оценить риски, финансовые и имиджевые потери.
🚀 Регистрация: https://cds-forum.kz/
Выбирайте пакет «Базовый», вводите промокод SPCDS1 — и вот вы уже гость форума
❤5👍5🔥4
В прошлый раз вам зашел пост об основных метриках, а сегодня выделим еще несколько, которые помогут построить фундамент DevOps.
Это показатель того, сколько времени потребуется вашей команде на выполнение задачи. Это время — про скорость доставки.
Как оптимизировать: если реализация функции заняла больше времени, чем ожидалось, посмотрите, сколько времени задача провела в бэклоге. Возможно, это ваше узкое место. Также проанализируйте процесс проверки кода. Именно на это обычно уходит большое количество времени.
Сколько времени вам требуется для развертывания выпуска в среде тестирования, разработки или производства?
Как оптимизировать: если развертывание занимает более часа, то вероятно, что что-то не так. Решением может стать оптимизация конвейера CI/CD, чтобы он был более рациональным и имел необходимые ресурсы для передачи кода в рабочую среду.
Показывает, сколько система может работать до того, как она выйдет из строя. Метрика помогает подготовиться к дорогостоящим сбоям системы.
Как улучшить MTTF: инвестируйте в мониторинг приложений, журналы и трассировку — это ключ к обнаружению и устранению сбоев. Вы также можете внедрить автоматизированные рабочие процессы, чтобы обнаруживать и документировать проблемы.
Это количество ошибок, которые не обнаружены и проявились в продашкене. Метрика помогает определить эффективность методов тестирования.
Как оптимизировать: высокий уровень указывает на плохой анализ кода и плохие процессы тестирования. Команды должны стремиться выявить 90% дефектов на этапе контроля качества.
Метрика про количество пользователей, у которых есть доступ к системе после развертывания. Отслеживание активности и трафика помогает получить представление о том, как выглядит “нормальный” трафик, чтобы при обнаружении отклонений от нормы можно было найти первопричину.
#devops
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤2⚡2💩2
Forwarded from Цифровой чай
Человечество на две части. Прогноз.
#трендец
Сегодня я хочу озвучить важный прогноз, хоть и не имеющий прикладного значения в моменте, но значимый для понимания того, куда и как (по моему скромному мнению, конечно) будет развиваться мир в обозримом будущем.
📈 Человек — уникальное животное с точки зрения эволюции. В отличие от других видов мы эволюционируем параллельно в двух плоскостях — физически и ментально. И если процесс физической эволюции у нас такой же медленный, как и у прочих животных, то наша ментальная эволюция идёт очень быстро по природным меркам.
Физически сегодня мы точно такие же существа, как наши предки, придумавшие колесо. Но у нас уже есть космические корабли и компьютеры, а на пороге стоит искусственный интеллект.
👥 И одним из двигателей эволюции является такая штука, как внутривидовая конкуренция. Есть она и у нас. И её роль будет стремительно расти по мере того, как технологии становятся всё сложнее и сложнее, и их развитие будет всё ближе подходить в фазе параболического роста. Конкуренция как между отдельными людьми, так и между целыми регионами.
Конкуренция между людьми будет подогреваться технологическим прогрессом, ведущим к стремительному изменению ландшафта профессий, знаний и навыков, которые окажутся востребованы в мире завтра. И скорость изменений нарастает.
🌐 Но что важнее, мы можем видеть признаки будущей регионализации технологического развития. Одни регионы мира будут активно развивать технологии или иметь к ним доступ, другие — ни первой, ни второй возможности иметь не будут. Как итог — крупные технологические анклавы с одной стороны, и архаика — с другой.
В случае, если по каким-то причинам будет иметь место выраженная изоляция одних регионов от других, то через несколько поколений мы можем дойти до абсурдной сейчас ситуации, когда жители отрезанных от технологий регионов просто перестанут понимать своих технологически продвинутых соседей по планете. Сейчас, например, у вас много общих тем с людоедами из лесов Амазонки? Даже обеденное меню вас не объединит.
🔋 Дополнительно эта ситуация будет усугубляться по мере развития технологий, продлевающих жизнь. Можем получить демографические ножницы. В одних регионах за счёт новых технологий продолжительность жизни будет стремительно расти. В других же технологическое отставание будет вести к замедлению местных экономик, снижению уровня жизни населения (в т.ч. через качество доступных продуктов и медицины), и в итоге — к снижению продолжительности жизни.
А дальше — простая логика: существо, живущее 120 лет, получит больше опыта и знаний, чем существо, живущее 60 лет. И с большей вероятностью за это время изобретёт что-то новое. Далее — спираль.
🗑 Впрочем, для человечества в целом трагедии отдельных людей и регионов не будут иметь значения на дистанции. Более успешный подвид просто вытеснит новых неандертальцев. Мы это уже проходили. Например, технологический разрыв вежду европейцами и коренным населением обеих Америк. Где теперь те индейцы?
🎓 Основной инструмент ментальной эволюции человека определён давно — это наука и технологии. Просто сейчас мы всё ближе к точке невозврата, когда технопрогресс начнёт развиваться по параболе, не оставляя шансов тем, кто отстал. Знаете, как в школе — если пропустил несколько важных тем, потом вообще ничего не понятно.
📌 Но каждый из нас может выбирать свой путь — чему учиться, на что обращать внимание, какие навыки осваивать, о чём мечтать. В конце концов, отдельные индейцы до сих пор живы и преуспевают.
На связи!
@digitaltea | про IT доступно
#трендец
Сегодня я хочу озвучить важный прогноз, хоть и не имеющий прикладного значения в моменте, но значимый для понимания того, куда и как (по моему скромному мнению, конечно) будет развиваться мир в обозримом будущем.
Физически сегодня мы точно такие же существа, как наши предки, придумавшие колесо. Но у нас уже есть космические корабли и компьютеры, а на пороге стоит искусственный интеллект.
Конкуренция между людьми будет подогреваться технологическим прогрессом, ведущим к стремительному изменению ландшафта профессий, знаний и навыков, которые окажутся востребованы в мире завтра. И скорость изменений нарастает.
В случае, если по каким-то причинам будет иметь место выраженная изоляция одних регионов от других, то через несколько поколений мы можем дойти до абсурдной сейчас ситуации, когда жители отрезанных от технологий регионов просто перестанут понимать своих технологически продвинутых соседей по планете. Сейчас, например, у вас много общих тем с людоедами из лесов Амазонки? Даже обеденное меню вас не объединит.
А дальше — простая логика: существо, живущее 120 лет, получит больше опыта и знаний, чем существо, живущее 60 лет. И с большей вероятностью за это время изобретёт что-то новое. Далее — спираль.
Кстати, вы знали, что некоторые индейцы просто не видели (мозг не воспринимал) корабли Колумба, стоявшие на якоре недалеко от берега? Настолько эти большие плавучие штуки не вписывались в их сознание.
На связи!
@digitaltea | про IT доступно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6⚡4💩4❤3🔥3
Forwarded from Похек (Сергей Зыбнев)
Поиск неизвестных уязвимостей с помощью фаззинга Nuclei v3.2
#nuclei #projectdiscovery #fuzzing
🛠 Недавно была добавлена поддержка многих новых функций. Если пересказать кратко, то:
- Поддержка аутентификации
- Расширенная поддержка фаззинга
- Поддержка импорта HTTP-запросов (Burp, JSONL, MultiDoc YAML или генерация с помощью API схем OpenAPI, Swagger)
Пример:
- Поддержка LDAP
- И пачка bugfix'ов
В этом же посте мы разберём 2 и 3 пункты.
Пример запроса:
Практически каждое поле мы можем фаззить (query, path, header, cookie, body).
У нас есть некоторые правила, по которым мы можем это делать:
Возьмем за основу простую SQL инъекцию:
Если же мы импортируем запросы из BurpSuite к примеру, то нам не обойтись без фильтрации входящих запросов.
Для примера выберем тип DSL, но также существуют другие типы фильтров.
Возьмем для примера простую проверку на то, что body не пустой и метод POST,
В итоге мы можем собрать Франкенштейна:
Данный функционал будет полезен не только пентестерам, но и DevSecOps'у. К примеру первые могут импортировать в nuclei запросы из burp suite и их фаззить. А вторые могут импортировать API схемы и также фаззить.
➡️ Оригинал статьи
👍 Дополнительный материал:
- Дока по fuzzing'у
- Дока с примерами фаззинг шаблонов
- Дока по фильтрам
- Дока по экстракторам
p.s. надеюсь на вашу поддержку, я постарался над написанием этого поста ❤️
🌚 @poxek
#nuclei #projectdiscovery #fuzzing
- Поддержка аутентификации
- Расширенная поддержка фаззинга
- Поддержка импорта HTTP-запросов (Burp, JSONL, MultiDoc YAML или генерация с помощью API схем OpenAPI, Swagger)
Пример:
nuclei -l bugbounty-proxify.yaml -im yaml -t fuzz/- Поддержка LDAP
- И пачка bugfix'ов
В этом же посте мы разберём 2 и 3 пункты.
Пример запроса:
POST /reset-password?token=x0x0x0&source=app HTTP/1.1
Host: 127.0.0.1:8082
User-Agent: Go-http-client/1.1
Cookie: PHPSESSID=1234567890
Content-Length: 23
Content-Type: application/json
Accept-Encoding: gzip
Connection: close
{"password":"12345678"}
Практически каждое поле мы можем фаззить (query, path, header, cookie, body).
У нас есть некоторые правила, по которым мы можем это делать:
prefix - Добавить полезную нагрузку в качестве префикса к значениюpostfix - Добавить полезную нагрузку в качестве постфикса к значениюreplace - Заменить значение на полезную нагрузкуinfix - Добавить полезную нагрузку в качестве инфикса к значению (инфикс - это нагрузка, вставленная по середине значения)replace-regex - Заменить значение на нагрузку с помощью regexВозьмем за основу простую SQL инъекцию:
http:
...
payloads:
injection: # В этом разделе перечисляем полезные нагрузки
- "'"
...
fuzzing:
- part: query # Указываем какую часть запроса менять: query, path, header, cookie, body
type: postfix # Указываем одно из правил: prefix, postfix, replace, infix,replace-regex
mode: single # Указываем режим мутации: single, multiple
fuzz:
- '{{injection}}' # Переменная нагрузки
Если же мы импортируем запросы из BurpSuite к примеру, то нам не обойтись без фильтрации входящих запросов.
Для примера выберем тип DSL, но также существуют другие типы фильтров.
DSL - продвинутая фильтрация, с помощью, которой мы можем проверять длину запроса, статус код, хедеры, body и даже raw данные
Возьмем для примера простую проверку на то, что body не пустой и метод POST,
condition: and значит, что оба условия должны быть TRUE- filters:
- type: dsl
dsl:
- method == POST
- len(body) > 0
condition: and
В итоге мы можем собрать Франкенштейна:
http:
# в начале мы отсеиваем запросы по перечисленным параметрам
- filters:
- type: dsl
dsl:
- method == POST
- len(body) > 0
condition: and
# тут указываем полезные нагрузки
payloads:
injection:
- "'"
- "\""
- ";"
# fuzzing rules
fuzzing:
- part: body # Говорим нукле тыкать body
type: postfix # Добавляем нагрузку в конце значения
mode: single # Говорим добавлять нагрузку только 1 раз
fuzz:
- '{{injection}}' # Вызываем полезные нагрузки из переменной
Данный функционал будет полезен не только пентестерам, но и DevSecOps'у. К примеру первые могут импортировать в nuclei запросы из burp suite и их фаззить. А вторые могут импортировать API схемы и также фаззить.
- Дока по fuzzing'у
- Дока с примерами фаззинг шаблонов
- Дока по фильтрам
- Дока по экстракторам
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍5🔥5⚡2
Разыгрываем 3 места на курс! Сможете пройти сами, подарить коллеге и даже младшему брату 😉
🔸 Узнаете основы, разберетесь с компонентами и абстракциями
🔸 Получите опыт настройки кластеров
🔸 Научитесь организовывать правильную разработку и деплой
🔸 Сможете запускать приложения в кластерах
Старт курса — 15 апреля
Go-go-go, и успехов!
#kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26🔥9❤5⚡4