Разбор Poisoned Pipeline Execution (PPE)
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Bishop Fox
Poisoned Pipeline Execution Attacks: A Look at CI-CD Environments
Bishop Fox examines types of poisoned pipeline execution (PPE) attacks, methods to exploit these vulnerabilities, and recommended preventive measures.
🔥2
Управление уязвимостями, советы GitGuardian
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
GitGuardian Blog - Take Control of Your Secrets Security
Vulnerability Management Lifecycle in DevSecOps
In this new series, CJ May shares his expertise in implementing secure-by-design software processes that empower engineering teams.
The first stage of his DevSecOps program: vulnerability management.
The first stage of his DevSecOps program: vulnerability management.
10 000 bugs за 10 000 дней!
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
Оказывается, что недавно общее количество bugs, которые были исправлены в
Немного подробней про эту новость можно прочесть вот тут. А(если посчитать, то ему 28 лет 😊)
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
cURL!Оказывается, что недавно общее количество bugs, которые были исправлены в
cURL, превысило 10 000! Если не верится, то вот тут можно найти статистику. В ней также указано общее количество CVE и история их изменений.Немного подробней про эту новость можно прочесть вот тут. А
cURL хочется лишь пожелать дальнейшего развития и поддержки от community 😊 😁6🔥3❤1👍1
Kubernetes: the harder way!
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
GitHub
GitHub - ghik/kubernetes-the-harder-way: A guide to setting up a production-like Kubernetes cluster on a local machine
A guide to setting up a production-like Kubernetes cluster on a local machine - ghik/kubernetes-the-harder-way
🔥10👍3
imagePullPolicy что это и как она работает?
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always(название может быть обманчиво 😊)
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
imagePullPolicy.Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Decisivedevops
Kubernetes Pod Policies — imagePullPolicy - Decisive DevOps
When a pod is launched in Kubernetes, it starts with several policies. In this series, we will understand these policies, starting with imagePullPolicy.
👍2
Attacking Supply Chain
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Devsecopsguides
Attacking Supply Chain
In today's interconnected and rapidly evolving technological landscape, DevOps practices have revolutionized software development and deployment, emphasizing collaboration, automation, and continuous integration/continuous deployment (CI/CD).
👍7❤3
Стань спикером CyberCamp 2024!!!
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками(и даже получить приятные призы 😊) Интересное найдется абсолютно всем!
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
🔥6❤🔥5👍5❤2🥰2
Как подготовиться к собеседованию в Google?
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
👍3🔥2🥰1😨1
AppSecFest 2024 Almaty!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
appsecfest.kz
AppSecFest 2025
AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий.
👍5🔥2
Kubenomicon: угрозы безопасности Kubernetes
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Telegram
DevSecOps Talks
Microsoft Kubernetes Threat Matrix
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
❤2
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
❤9🔥1
Моделирование угроз с Gram
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
GitHub
GitHub - klarna-incubator/gram: Gram is Klarna's own threat model diagramming tool
Gram is Klarna's own threat model diagramming tool - klarna-incubator/gram
👍8
Oreilly Ebook - Kubernetes Security and Observability.pdf
11.5 MB
Kubernetes Security and Observability
Всем привет!
В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.
Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?
Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊
Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое
Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде
Всем привет!
В приложении можно найти электронную книгу (~ 196 страниц), посвященную вопросам обеспечения ИБ кластер Kubernetes и observability.
Трудно не согласиться с тем, что эти темы очень сильно пересекаются. Ведь как можно контролировать то, «чего не видишь» или «о чем не знаешь»?
Даже в классических книгах по ИБ все начинается со старой доброй инвентаризации, которую тоже можно назвать частью observability 😊
Внутри вас ждет следующее:
🍭 Security and Observability Strategy
Infrastructure Security
🍭 Workload Deployments Control, Runtime Security
🍭 Observability and Security
🍭 Network Policy и многое другое
Если вас интересует ответ на вопрос «Как?», то книга его не даст. С другой стороны, если ваши вопросы это «Что?» и «Зачем?», то материал может быть очень интересным и полезным, т.к. покрывает много областей ИБ Kubernetes в достаточно структурированном виде
🔥10👍3
Kubernetes… это просто Linux!
Всем привет!
Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.
В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.
Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование
🍭 Изоляция практически всего с использованием Linux
🍭 Фильтрация трафика с использованием
🍭 Использование возможностей Linux для хранения данных и многое другое
Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?
Всем привет!
Согласны ли вы с таким утверждением? Предлагаем вам легкое пятничное чтиво с интересной мыслью, в котором приводятся аргументы «За» эту точку зрения.
В начале изучения Kubernetes Автор думал, что это мощная технология, созданная практически «с нуля», при этом обладая большим количество функций.
Но, чем дальше он «углублялся», тем больше понимал:
🍭 Использование
cgroups для управления ресурсами🍭 Изоляция практически всего с использованием Linux
namespaces🍭 Фильтрация трафика с использованием
iptables🍭 Использование возможностей Linux для хранения данных и многое другое
Все это привело Автора к мысли, что Kubernetes – не что иное, как «супер-обертка» над и без того сильной функциональностью Linux. Да, слегка утрированно, но что-то интересное в этой мысли есть. А что вы думаете по этому поводу?
Medium
Kubernetes is just Linux
I started working with Kubernetes a couple of years ago. In the beginning this software looks as a huge technology made from scratch and is…
👍12🔥1
Использование Nuclei для поиска уязвимостей
Всем привет!
В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.
Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity
После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.
Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊
Всем привет!
В статье команда Orca делится своим опытом использования Nuclei для поиска уязвимостей с использованием templates.
Рассматриваются сценарии:
🍭 Уязвимость в web-приложении. Неавторизованные запросы и получение метаданных сервиса
🍭 Уязвимость в CI/CD. Эксплуатация CVE-2024-2791: обход аутентификации в TeamCity
После небольшого описания того, что из себя представляет Nuclei и как он работает, Команда разбирает каждый вышеописанный сценарий.
Описывается логика атаки/уязвимости, принципы ее работы, используемый шаблон Nuclei (и то, где и как их можно делать/искать). Много комментариев и пояснений, может быть полезно для тех, кто еще не работал с Nuclei, но уже интересуется 😊
Orca Security
Leveraging Nuclei Templates to Identify Risks and Threats in Critical Cloud Applications
Are your cloud apps & APIs vulnerable? Learn how Nuclei templates can help with automated vulnerability detection to fortify your cloud security.
👍3❤2
SCALIBR: анализ open source от Google
Всем привет!
SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.
На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только
С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).
Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.
Всем привет!
SCALIBR – расширяемый сканер файловой системы, который используется для извлечения данных об используемых пакетах (например, языков программирования) и дальнейшим анализом на уязвимости.
На текущий момент поддерживаются:
🍭 .NET (packages.lock.kson)
🍭 C++ (Conan packages)
🍭 Golang (Go binaries, go.mod)
🍭 JavaScript (package.json, lockfiles) и не только
С полным перечнем можно ознакомиться по ссылке. Из важного – скорее всего SCALIBR изменится, т.к. в настоящее время Google (Авторы утилиты) производит его слияние с другим проектом – OSV-Scanner (о котором мы писали тут).
Больше информации про запуск, сценарии использования, предоставляемые результаты – можно найти в repo проекта.
GitHub
GitHub - google/osv-scalibr: OSV-SCALIBR: A library for Software Composition Analysis
OSV-SCALIBR: A library for Software Composition Analysis - google/osv-scalibr
👍1
Poutine! Анализ конфигурации CI
Всем привет!
Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.
На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab(в качестве основы проверок, конечно же, OPA 😊).
Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.
Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.
Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!
Всем привет!
Команда BoostSecurity выложила в открытый доступ инструмент по анализу конфигураций CI – Poutine.
На текущий момент реализовано 10 проверок, в основном для GitHub и 1 для GitLab
Ознакомиться с ними можно по ссылке. Для каждой проверки описывается как надо делать, как делать не надо и приводятся ссылки на полезные материалы.
Помимо этого, Poutine позволяет собрать информацию о build time dependencies. Например, информацию о GitHub Actions, GitLab Pipeline Imports, Docker-контейнерах.
Больше информации о проекте можно найти в статье или в описании repo. Надеемся, что количество проверок, поддерживаемых Poutine, будет только увеличиваться!
GitHub
GitHub - boostsecurityio/poutine: boostsecurityio/poutine
boostsecurityio/poutine. Contribute to boostsecurityio/poutine development by creating an account on GitHub.
👍4
Повышение привилегий в Docker через Search Permissions
Всем привет!
Допустим, что у вас есть учетная запись с
Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до
Например, можно реализовать вот такой сценарий:
🍭 Права на директорию
🍭 Допустим, что пользователь может пользоваться
🍭 Разведка! Ищем что-то с чем может работать наш пользователь
🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊
🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье
На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!
Всем привет!
Допустим, что у вас есть учетная запись с
UID = 1000. Она может перезагружать рабочую станцию, на которой есть Docker и какие-то контейнеры. Выглядит вполне безобидно, неправда ли?Однако, это может быть не совсем так при соблюдении ряда условий. В статье демонстрируется возможность поднятия привилегий с простого пользователя до
rootНапример, можно реализовать вот такой сценарий:
🍭 Права на директорию
/var/lib/docker - 711. Читать ничего нельзя, но можно search/execute🍭 Допустим, что пользователь может пользоваться
mount и монтирует данные контейнеров🍭 Разведка! Ищем что-то с чем может работать наш пользователь
🍭 Модифицируем файлы контейнера, но теперь надо его перезапустить… Но по условиям, наш пользователь может перезапустить рабочую станцию 😊
🍭 Далее, используя «низкие» права на рабочей станции и «повышенные» в контейнере ищем пути поднятия привилегий, об этом можно прочесть в статье
На текущий момент этот способ действовать не будет, из-за обновления Docker 😊 Но, тем не менее, статья остается достаточно интересной, поэтому и захотелось поделиться с вами!
Withsecure
Abusing search permissions on Docker directories for privilege escalation
During a recent engagement, we came across an unfamiliar configuration pertaining to /var/lib/docker permissions. This, combined with a number of other lower risk issues, resulted in an attack path that allowed privilege escalation to root from a low-privileged…
📍 Онлайн-конференция «Российские системы контейнеризации»
🗓 26 апреля, 11:00
Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика.
На мероприятии вы узнаете:
🔶 В чем преимущества контейнеров относительно серверной виртуализации?
🔶 Кто и зачем использует контейнеризацию в России?
🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes?
🔶 С чего начать создание собственной среды контейнеризации?
🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет?
От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.
🗓 26 апреля, 11:00
Уже завтра в эфире AM Live ведущие IT-эксперты сделают обзор российского рынка систем контейнерной виртуализации. Расскажут, зачем мигрировать на российские дистрибутивы Kubernetes и на какие критерии обращать внимание при выборе поставщика.
На мероприятии вы узнаете:
🔶 В чем преимущества контейнеров относительно серверной виртуализации?
🔶 Кто и зачем использует контейнеризацию в России?
🔶 Какие ограничения возникают при использовании российских дистрибутивов Kubernetes?
🔶 С чего начать создание собственной среды контейнеризации?
🔶 Что ожидает рынок в 2024 году и перспективе 2-3 лет?
От команды «Лаборатория Числитель» выступит Александр Краснов, технический директор платформы «Штурвал». Чтобы продуктивно провести утро пятницы и узнать больше о российских платформах контейнеризации, регистрируйтесь по ссылке.
🤡7🔥4👍3❤🔥2🥰2❤1🤔1🎉1🖕1
OSV: автоматическое устранение уязвимостей в зависимостях
Всем привет!
В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях.
На текущий момент функционал находится в стадии [Experimental], поддерживается только
OSV предлагает следующее:
🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей
🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных
🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только
OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение.
P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"
Всем привет!
В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях.
На текущий момент функционал находится в стадии [Experimental], поддерживается только
package.json и package-lock.json.OSV предлагает следующее:
🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей
🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных
🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только
OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение.
P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"
OSV-Scanner
Guided Remediation
Use OSV-Scanner to find existing vulnerabilities affecting your project’s dependencies.
👍3🔥1
Iptables и Kubernetes
Всем привет!
Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊
Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables!
В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах.
Рассматривается:
🍭 Описание правил
🍭 Работа с chains
🍭 Добавление правил в custom chain
🍭 Управление логами Iptables
🍭 Использование Iptables для защиты Kubernetes и не только
В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️
Всем привет!
Есть много курсов по тому, как научиться работать с Kubernetes и, в любом случае нет-нет, да и придется изучать Linux 😊
Анализ трафика – не исключение. Для того, чтобы лучше понять то, как можно его фильтровать нет ничего лучше, чем старые добрые Iptables!
В эту рабочую субботу предлагаем обратить внимание на статью, в которой Автор (в достаточно шутливой манере) описывает что это и зачем оно нужно на простых аналогиях и примерах.
Рассматривается:
🍭 Описание правил
🍭 Работа с chains
🍭 Добавление правил в custom chain
🍭 Управление логами Iptables
🍭 Использование Iptables для защиты Kubernetes и не только
В статье очень много примеров, screenshots, пояснений к происходящему. Самое «то», чтобы рабочая суббота «пролетела» чуточку быстрее ☺️
DEV Community
Shielding Your Kubernetes Network: Mastering iptables for Enhanced Security
I. Introduction Would you like to hear the good news or the bad news first? Let's begin...
👍9