Kubernetes RBAC: подробный обзор
Всем привет!
Сегодня предлагаем вашему вниманию объемную статью, в которой рассматриваются разные аспекты управления доступом в Kubernetes с использованием RBAC.
Статья затрагивает области:
🍭 Что такое RBAC в Kubernetes, как он устроен и работает
🍭 Разница между RBAC и ABAC
🍭 Аутентификация и Авторизация (AuthN/AuthZ)
🍭 Лучшие практики при работе с RBAC и многое другое
Все концепты отлично расписаны, материал можно смело использовать для консолидации и структурирования информации по теме.
А из лучших практик можно составить неплохой checklist, который можно использовать при проведении аудитов ИБ кластеров Kubernetes.
Также в статье упоминаются средства автоматизации (open source), которые смогут облегчить процесс аудита прав и полномочий.
Всем привет!
Сегодня предлагаем вашему вниманию объемную статью, в которой рассматриваются разные аспекты управления доступом в Kubernetes с использованием RBAC.
Статья затрагивает области:
🍭 Что такое RBAC в Kubernetes, как он устроен и работает
🍭 Разница между RBAC и ABAC
🍭 Аутентификация и Авторизация (AuthN/AuthZ)
🍭 Лучшие практики при работе с RBAC и многое другое
Все концепты отлично расписаны, материал можно смело использовать для консолидации и структурирования информации по теме.
А из лучших практик можно составить неплохой checklist, который можно использовать при проведении аудитов ИБ кластеров Kubernetes.
Также в статье упоминаются средства автоматизации (open source), которые смогут облегчить процесс аудита прав и полномочий.
rad.security
Kubernetes RBAC: Role-Based Access Control
Dive into the basics of Kubernetes RBAC: role-based access control, including security principles like limiting Kubernetes cluster roles and permissions.
👍5❤1
Troubleshooting Kubernetes: Handbook
Всем привет!
Поиск источников проблем при работе с Kubernetes (особенно по началу) может быть очень и очень неочевидным.
Основная задача статьи состоит в том, чтобы сделать этот процесс более понятным и структурированным.
Автор рассматривает:
🍭 Анализ Kubernetes Events
🍭 Работа с Kubernetes Audit Log
🍭 Анализ потребляемых ресурсов
🍭 Использование
🍭 Поиск причин возникновения «сетевых ошибок» и другие
🍭 Использование ephemeral containers для поиска ошибок
Для каждого блока Автор рассматривает возможные ошибки и причины, которые к ним привели. Например, Scheduling Delays может быть вызван ограничениями ресурсов, проблемами с планировщиком, неготовностью PV и т.д.
Кроме этого, Автор приводит перечень рекомендаций о том, как и что лучше использовать для идентификации причин неисправностей.
Надеемся, что статья вам пригодится и сделает процесс поиска ошибок в Kubernetes чуть проще 😊
Всем привет!
Поиск источников проблем при работе с Kubernetes (особенно по началу) может быть очень и очень неочевидным.
Основная задача статьи состоит в том, чтобы сделать этот процесс более понятным и структурированным.
Автор рассматривает:
🍭 Анализ Kubernetes Events
🍭 Работа с Kubernetes Audit Log
🍭 Анализ потребляемых ресурсов
🍭 Использование
kubectl exec и kubectl debug🍭 Поиск причин возникновения «сетевых ошибок» и другие
🍭 Использование ephemeral containers для поиска ошибок
Для каждого блока Автор рассматривает возможные ошибки и причины, которые к ним привели. Например, Scheduling Delays может быть вызван ограничениями ресурсов, проблемами с планировщиком, неготовностью PV и т.д.
Кроме этого, Автор приводит перечень рекомендаций о том, как и что лучше использовать для идентификации причин неисправностей.
Надеемся, что статья вам пригодится и сделает процесс поиска ошибок в Kubernetes чуть проще 😊
Medium
The Kubernetes Troubleshooting Handbook
Debugging Tips, Tools, and Techniques
🔥7👍2👏1
Ultimate DevSecOps
Всем привет!
По ссылке можно найти awesome-подборку, посвященную DevSecOps. В ней собраны материалы, посвященные разным практикам безопасной разработки.
Материал структурирован по следующим разделам:
🍭 Pre-commit Tools
🍭 Secrets Management
🍭 SAST, DAST
🍭 Continuous Deployment Security
🍭 Container, Kubernetes и многое другое
Больше всего приведено информации по различным средствам автоматизации. Ничего сверхъестественного, но может быть полезно тем, кто только начинает разбираться в тематике.
Всем привет!
По ссылке можно найти awesome-подборку, посвященную DevSecOps. В ней собраны материалы, посвященные разным практикам безопасной разработки.
Материал структурирован по следующим разделам:
🍭 Pre-commit Tools
🍭 Secrets Management
🍭 SAST, DAST
🍭 Continuous Deployment Security
🍭 Container, Kubernetes и многое другое
Больше всего приведено информации по различным средствам автоматизации. Ничего сверхъестественного, но может быть полезно тем, кто только начинает разбираться в тематике.
GitHub
GitHub - sottlmarek/DevSecOps: Ultimate DevSecOps library
Ultimate DevSecOps library. Contribute to sottlmarek/DevSecOps development by creating an account on GitHub.
GitOps Secrets: HashiCorp Vault и External Secrets Operator
Всем привет!
Тематика корректного управления секретами не может быть не актуальной! Особенно, когда их много и когда хочется выстроить такой процесс, который будет работать «как часы» и, в идеале, без вмешательства пользователя!
В статье описывается использование двух решений – HashiCorp Vault и External Secrets Operator (ESO) для того, чтобы: безопасно хранить секреты, безопасно их «доставлять» потребителям.
Автор предлагает реализовать:
🍭 Применение манифестов приложения с секретами
🍭 ESO анализирует манифест и создает запрос в Vault
🍭 Vault «удостоверяется» в том, что ESO можно «доверять» и отдает секрет ESO
🍭 ESO создает
Все шаги максимально детально описаны. Для тестов используется минималистичное приложение, которое показывает информацию о секретах.
Дополнительно, Автор затрагивает такие темы как ротация секретов и решение проблемы Secret Zero. Рекомендуем!
Всем привет!
Тематика корректного управления секретами не может быть не актуальной! Особенно, когда их много и когда хочется выстроить такой процесс, который будет работать «как часы» и, в идеале, без вмешательства пользователя!
В статье описывается использование двух решений – HashiCorp Vault и External Secrets Operator (ESO) для того, чтобы: безопасно хранить секреты, безопасно их «доставлять» потребителям.
Автор предлагает реализовать:
🍭 Применение манифестов приложения с секретами
🍭 ESO анализирует манифест и создает запрос в Vault
🍭 Vault «удостоверяется» в том, что ESO можно «доверять» и отдает секрет ESO
🍭 ESO создает
Secret с необходимыми даннымиВсе шаги максимально детально описаны. Для тестов используется минималистичное приложение, которое показывает информацию о секретах.
Дополнительно, Автор затрагивает такие темы как ротация секретов и решение проблемы Secret Zero. Рекомендуем!
Medium
GitOps Secrets with Argo CD, Hashicorp Vault and the External Secret Operator
Teams adopting GitOps often ask how to use secrets with Argo CD. The official Argo CD page about secrets is unopinionated by design and…
👍1
Analysis Tools: простой и наглядный выбор сканеров!
Всем привет!
Вопрос выбора инструментов анализа исходного кода может… привести в тупик! Ведь их так много (как кажется на первый взгляд).
Чтобы стало немного проще, рекомендуем обратить внимание на ресурс Analysis Tools. В нем собрана информация как об open source, так и об enterprise-решениях. И слово «анализ» тут понимается в широком смысле – линтеры, ИБ-проверки, formatters, анализ качества кода и т.д.
Воспользоваться ресурсом просто:
🍭 Выбираем язык(и)
🍭 Интересующий нас тип анализа
🍭 Способ взаимодействия (CLI, SaaS, IDE-plugin)
🍭 Тип лицензии
🍭 Стоимость(если надо) и… готово!
Интересно, что в результирующем списке можно посмотреть количество «голосов», которые отданы тому или иному решению. Вдобавок – краткое описание и сведения о том поддерживается проект или нет (для open source).
При выборе понравившегося решения предоставляется информация о сайте, repo, GitHub-звездах, небольшой обзор решения и возможные альтернативы на замену.
Выглядит вполне интересно и полезно! 😊
P.S. А если не хочется сайтов и фильтров, но материал интересен – можно обратиться к repo проекта
Всем привет!
Вопрос выбора инструментов анализа исходного кода может… привести в тупик! Ведь их так много (как кажется на первый взгляд).
Чтобы стало немного проще, рекомендуем обратить внимание на ресурс Analysis Tools. В нем собрана информация как об open source, так и об enterprise-решениях. И слово «анализ» тут понимается в широком смысле – линтеры, ИБ-проверки, formatters, анализ качества кода и т.д.
Воспользоваться ресурсом просто:
🍭 Выбираем язык(и)
🍭 Интересующий нас тип анализа
🍭 Способ взаимодействия (CLI, SaaS, IDE-plugin)
🍭 Тип лицензии
🍭 Стоимость
Интересно, что в результирующем списке можно посмотреть количество «голосов», которые отданы тому или иному решению. Вдобавок – краткое описание и сведения о том поддерживается проект или нет (для open source).
При выборе понравившегося решения предоставляется информация о сайте, repo, GitHub-звездах, небольшой обзор решения и возможные альтернативы на замену.
Выглядит вполне интересно и полезно! 😊
P.S. А если не хочется сайтов и фильтров, но материал интересен – можно обратиться к repo проекта
analysis-tools.dev
Analysis Tools and Linters to Improve Code Quality and Avoid Bugs
Find static code analysis tools and linters for Java, JavaScript, PHP, Python, Ruby, C/C++, C#, Go, Swift, and more. All tools and linters are peer-reviewed by fellow developers to select the best tools available. Avoid bugs in production, outages on weekends…
👍9❤2
Обновление фреймворка DAF
Всем привет!
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
🍗 пересмотрели часть практик и их расположение в уровнях зрелости;
🍗 актуализировали маппинг практик DAF на фреймворк BSIMM;
🍗 обновили Пирамиду зрелости (ex - Кирилламида);
🍗 добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
🍗 исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его контрибьютором.
Для публикации обновлений и обсуждения фреймворка создали канал и чат соответственно - https://news.1rj.ru/str/DevSecOps_Assessment_Framework 🙂
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
Всем привет!
Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
🍗 пересмотрели часть практик и их расположение в уровнях зрелости;
🍗 актуализировали маппинг практик DAF на фреймворк BSIMM;
🍗 обновили Пирамиду зрелости (ex - Кирилламида);
🍗 добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
🍗 исправили опечатки, баги.
Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его контрибьютором.
Для публикации обновлений и обсуждения фреймворка создали канал и чат соответственно - https://news.1rj.ru/str/DevSecOps_Assessment_Framework 🙂
И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).
Telegram
DevSecOps Assessment Framework (DAF)
Канал о фреймворке DAF (https://github.com/Jet-Security-Team/DevSecOps-Assessment-Framework). Публикуем изменения, собираем обратную связь тут - https://news.1rj.ru/str/DAF_chat
🔥13👍7👏2❤1
Лабораторные по Kubernetes: Security
Всем привет!
Сегодня предлагаем вам несколько материалов «на выходные», посвященных практическим вопросам обеспечения ИБ Kubernetes!
Первая статья подготовлена специалистами Palark и в ней приведен разбор задач (easy), доступных в Simulator. Simulator – CTF для Kubernetes, в котором собран набор сценариев, цель которых – решить задачку и найти флаг.
При прохождении Simulator Авторы затрагивают такие темы как:
🍭 Горизонтальное перемещение в кластере Kubernetes
🍭 Работа с ролевой моделью Kubernetes
🍭 Создание «bad pod», получение доступа к контейнеру
🍭 Изменение Network Policy и многое другое
Второй ресурс – новая «комната» проекта TryHackMe: уровень сложности – Medium, время на прохождение около 60 минут.
В комнате собраны задачи и вопросы по темам: ServiceAccounts, RBAC, Api Requests in k8s, Image Scanning и не только. Материал более теоретический, но все равно может быть интересным 😊
Отличного обучения и прекрасных вам выходных!
Всем привет!
Сегодня предлагаем вам несколько материалов «на выходные», посвященных практическим вопросам обеспечения ИБ Kubernetes!
Первая статья подготовлена специалистами Palark и в ней приведен разбор задач (easy), доступных в Simulator. Simulator – CTF для Kubernetes, в котором собран набор сценариев, цель которых – решить задачку и найти флаг.
При прохождении Simulator Авторы затрагивают такие темы как:
🍭 Горизонтальное перемещение в кластере Kubernetes
🍭 Работа с ролевой моделью Kubernetes
🍭 Создание «bad pod», получение доступа к контейнеру
🍭 Изменение Network Policy и многое другое
Второй ресурс – новая «комната» проекта TryHackMe: уровень сложности – Medium, время на прохождение около 60 минут.
В комнате собраны задачи и вопросы по темам: ServiceAccounts, RBAC, Api Requests in k8s, Image Scanning и не только. Материал более теоретический, но все равно может быть интересным 😊
Отличного обучения и прекрасных вам выходных!
Palark
Kubernetes security practical training as a CTF game with Simulator | Tech blog | Palark
Dealing with security issues in containers and Kubernetes is an essential engineering skill. This Open Source simulator created in ControlPlane is a fantastic tool for practicing DevSecOps in a free and engaging manner.
👍8
Что делать, если удалил cluster-admin?
Всем привет!
Статья для понедельника, чтобы немного взбодриться! 😊Так получилось, что Автор статьи удалил роль cluster-admin и ее RoleBinding. Как такое может быть? Случаи бывают разные…(но если интересно, то в статье есть ответ, как это получилось именно у него)
И все же, что же делать в подобной ситуации?
Выходов немного, но они есть. Например:
🍭 Найти ServiceAccount, который обладает повышенными привилегиями в кластере
🍭 Получить его ServiceAccount Token
🍭 Создать cluster-admin (Role и RoleBinding заново) с использованием вышеуказанного Token
Но как быть, если привилегированной сервисной учетной записи нет? Хороший вопрос. Возможно, ответом станет "прямая запись в etcd" или поиск недавнего backup.
Возможно, вы сталкивались с таким – будем рады, если поделитесь опытом в комментариях 😊
Всем привет!
Статья для понедельника, чтобы немного взбодриться! 😊Так получилось, что Автор статьи удалил роль cluster-admin и ее RoleBinding. Как такое может быть? Случаи бывают разные…
И все же, что же делать в подобной ситуации?
Выходов немного, но они есть. Например:
🍭 Найти ServiceAccount, который обладает повышенными привилегиями в кластере
🍭 Получить его ServiceAccount Token
🍭 Создать cluster-admin (Role и RoleBinding заново) с использованием вышеуказанного Token
Но как быть, если привилегированной сервисной учетной записи нет? Хороший вопрос. Возможно, ответом станет "прямая запись в etcd" или поиск недавнего backup.
Возможно, вы сталкивались с таким – будем рады, если поделитесь опытом в комментариях 😊
Medium
Don’t delete cluster-admin clusterrole and clusterrolebinding…. uggh, too late…
Have you ever accidently deleted a file or thrown out an important document that got lumped in with a pile of unwanted paperwork? We’ve all…
🔥3
Traceeshark: новый open source от Aqua Security
Всем привет!
Недавно коллекция open source утилит, разрабатываемых и поддерживаемых Aqua Security добавилась еще одна – Traceeshark!
Она представляет из себя некий посредник между Tracee и Wireshark: берем результаты работы первой утилиты в
После установки Traceeshark в Wireshark появятся 4 дополнительных плагина:
🍭 Tracee logs reader. Поддержка результатов работы Tracee в формате
🍭 Tracee logs analyzer. Возможность работы с Tracee logs – фильтрация, агрегация данных
🍭 Tracee packet reader. Анализ сетевых пакетов, «записанных» Tracee
🍭 Live capture. Запись событий, генерируемых Tracee, «в прямом эфире»
Подробнее о том, как это работает можно прочесть в статье и, конечно же, в repo самого проекта.
Всем привет!
Недавно коллекция open source утилит, разрабатываемых и поддерживаемых Aqua Security добавилась еще одна – Traceeshark!
Она представляет из себя некий посредник между Tracee и Wireshark: берем результаты работы первой утилиты в
*.json, направляем во вторую и анализируем в «привычном интерфейсе».После установки Traceeshark в Wireshark появятся 4 дополнительных плагина:
🍭 Tracee logs reader. Поддержка результатов работы Tracee в формате
*.json🍭 Tracee logs analyzer. Возможность работы с Tracee logs – фильтрация, агрегация данных
🍭 Tracee packet reader. Анализ сетевых пакетов, «записанных» Tracee
🍭 Live capture. Запись событий, генерируемых Tracee, «в прямом эфире»
Подробнее о том, как это работает можно прочесть в статье и, конечно же, в repo самого проекта.
GitHub
GitHub - aquasecurity/traceeshark: Deep Linux runtime visibility meets Wireshark
Deep Linux runtime visibility meets Wireshark. Contribute to aquasecurity/traceeshark development by creating an account on GitHub.
👍8🔥2
6 Pillars of DevSecOps.pdf
382.9 KB
Six Pillars of DevSecOps
Всем привет!
В приложении доступен обзор целой серии материалов от Cloud Security Alliance (CSA), посвященных DevSecOps.
Согласно мнению CSA есть 6 «столпов» DevSecOps:
🍭 Collective Responsibility. Изменение mindset, упрощение взаимодействия команд, евангелизм и т.д.
🍭 Collaboration and Integration. Взаимная помощь, обучение и понимание сторонами своих «соседей»
🍭 Pragmatic Implementation. Выбор оптимального и адаптивного набора решений для автоматизации процессов безопасной разработки (в противовес one size fits all подходу)
🍭 Bridging Compliance and Development. Хотим мы того или нет, но регуляторные требования существуют и их надо выполнять. В том числе при разработке безопасного ПО
🍭 Automation. Автоматизация проверок безопасности при разработке ПО
🍭 Measure, Monitor, Report and Action. Метрики, метрики, метрики и улучшайзинг
В самом обзоре нет детализации по тому, как и что можно делать для реализации описанных выше «столпов».
Однако, есть и хорошие новости! Для каждого «столпа» есть свой собственный документ 😊 Их мы направим в следующем посте.
Приятного вам чтения и изучения!
Всем привет!
В приложении доступен обзор целой серии материалов от Cloud Security Alliance (CSA), посвященных DevSecOps.
Согласно мнению CSA есть 6 «столпов» DevSecOps:
🍭 Collective Responsibility. Изменение mindset, упрощение взаимодействия команд, евангелизм и т.д.
🍭 Collaboration and Integration. Взаимная помощь, обучение и понимание сторонами своих «соседей»
🍭 Pragmatic Implementation. Выбор оптимального и адаптивного набора решений для автоматизации процессов безопасной разработки (в противовес one size fits all подходу)
🍭 Bridging Compliance and Development. Хотим мы того или нет, но регуляторные требования существуют и их надо выполнять. В том числе при разработке безопасного ПО
🍭 Automation. Автоматизация проверок безопасности при разработке ПО
🍭 Measure, Monitor, Report and Action. Метрики, метрики, метрики и улучшайзинг
В самом обзоре нет детализации по тому, как и что можно делать для реализации описанных выше «столпов».
Однако, есть и хорошие новости! Для каждого «столпа» есть свой собственный документ 😊 Их мы направим в следующем посте.
Приятного вам чтения и изучения!
👍7
Шутки про голландский штурвал в сторону!
Всем привет!
У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.
Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8
Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/
Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎
Всем привет!
У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.
Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8
Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/
Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎
😁8👍6❤🔥3❤3🔥3🥰1💩1
Как реализовать мониторинг containerd?
Всем привет!
Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!
Не поймите неправильно: информация про то как можно реализовать мониторинг
А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через
🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие
🍭 И только после этого – информация о том, как мониторить
Таким образом, статья позволит лучше погрузиться в то, что на самом деле(ну почти) запускает контейнеры, как оно устроено 😊
P.S. А еще там есть наглядная схема процесса взаимодействия
Всем привет!
Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!
Не поймите неправильно: информация про то как можно реализовать мониторинг
containerd есть, но перед этим есть кое-что очень интересное! 😊А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через
runc)🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие
kubelet и containerd. Наверное, вы встречали в логах kublet нечто вроде RunPodSandbox() , PullImage(), StartContainer() и т.д.🍭 И только после этого – информация о том, как мониторить
containerdТаким образом, статья позволит лучше погрузиться в то, что на самом деле
P.S. А еще там есть наглядная схема процесса взаимодействия
kubelet - containerd при создании контейнера!Povilas Versockas
How to monitor Containerd - Povilas Versockas
How to monitor containerd with Prometheus. This article focuses on containerd architecture and monitoring key signals.
👍5
Использование DevTools для идентификации Leaked Credentials
Всем привет!
Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!
Да, они упрощают(хотя иногда с точностью до наоборот) жизнь, но! Иногда можно обойтись тем, что «есть под рукой». Например, DevTools.
В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.
Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!
Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!
Всем привет!
Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!
Да, они упрощают
В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.
Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!
Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!
GitHub
GitHub - h4x0r-dz/Leaked-Credentials: how to look for Leaked Credentials !
how to look for Leaked Credentials ! Contribute to h4x0r-dz/Leaked-Credentials development by creating an account on GitHub.
👍4
RUN, CMD и ENTRYPOINT: в чем разница?
Всем привет!
При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции –
В статье Автор лаконично объясняет в чем эта разница состоит:
🍭
🍭
🍭
Более полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.
И да! Разница между
А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы
Всем привет!
При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции –
RUN, CMD и ENTRYPOINT. На первый взгляд, они достаточно похожи, но разница есть.В статье Автор лаконично объясняет в чем эта разница состоит:
🍭
RUN. Выполняется во время сборки, создает новый слой контейнера🍭
CMD. «Команда по умолчанию» при запуске контейнера. Может быть переопределена docker run -it smth🍭
ENTRYPOINT. «Запускаемый по умолчанию исполняемый файл». Да, тоже может быть переопределен, но чуть иначеБолее полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.
И да! Разница между
echo TEST (Shell-форма) и [“echo”, “TEST”] (Exec-форма) есть 😊 И связана она с PID №1. А как именно – рекомендуем прочесть в статье, весьма интересно!А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы
RUN, CMD и ENTRYPOINT.Docker
Docker Best Practices: Choosing Between RUN, CMD, and ENTRYPOINT | Docker
Learn how to optimize Docker command use with our best practices guide on RUN, CMD, and ENTRYPOINT Dockerfile instructions.
❤4🔥2👍1