infosecurity

👨‍💻 Attacking MongoDB. • MongoDB — это кроссплатформенная документо-ориентированная система управления базами данных. Относясь к категории NoSQL, MongoDB отказывается от традиционной таблично-ориентированной структуры реляционных баз данных в пользу JSON-документов с динамическими схемами, что делает интеграцию данных в приложениях более быстрой и простой. • Поговорим о защищенности MongoDB. На самом деле MongoDB безопасна в использовании, если вы знаете, что искать и как это настраивать. • Enumeration: ➡Nmap MongoDB Brute Force Attack; ➡Metasploit MongoDB Login Scanner; ➡Shodan Search for MongoDB Instances; ➡Manual MongoDB Interaction via PyMongo; ➡Common MongoDB Commands; ➡Automating MongoDB Enumeration with Nmap. • Brute Force: ➡MongoDB Login Methods; ➡Checking for MongoDB Authentication Using Nmap; ➡Manual Brute Forcing; ➡Lack of Authentication in MongoDB Instance. • Disable Unused Network Interfaces; • Enable Access Control (Authentication); • Enable SSL/TLS Encryption; • Disable HTTP Interface; • Enable Audit Logging: ➡Set Appropriate File Permissions; ➡Disable Unused MongoDB Features; ➡Enable Firewalls and Limit Access to MongoDB Ports. • Exploiting Default Admin Users; • Exploiting Misconfigured Role-Based Access Control (RBAC); • Leveraging File System Access via MongoDB; • Leveraging MongoDB API and Insecure Bindings; • Misconfigured Backup Systems. #MongoDB#devsecops

👨‍💻 HTTP Security Headers. • X-Content-Type-Options Header; • Reflected File Download (RFD); • CORS Deception; • Clickjacking; • XSS (Cross-Site Scripting); • SSL/TLS Stripping (MITM); • Cookie Hijacking; • CSRF (Cross-Site Request Forgery); • Information Disclosure Attacks; • Cache-Control Header; • Content-Disposition Header; • Cross-Origin Resource Policy (CORP); • Extra HTTP Header Injection; • Content-Encoding Header; • Access-Control-Allow-Origin Header; • X-Rate-Limit and X-Forwarded Headers; • X-Content-Type-Options Header; • XSS and CSRF Protection; • Content-Security-Policy (CSP). #devsecops

👨‍💻 File Upload Vulnerabilities. • Attack Scenario: Insecure File Content: - 2. Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - 3. Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - 4. Reverse Access Control; • Magic Byte Exploits and Securing File Uploads: - Magic Bytes Overview; - Attack Scenario: Magic Byte Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access Control; - Process of Securing File Uploads; • Config Overwrite: - Attack Scenario: Configuration Overwrite and Null Byte Injection; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access and Configuration Overwrite; - Process of Securing File Uploads; • Insecure Handler: - Attack Scenario: Insecure Handler Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Insecure Handler and Web Shell Exploit; - Process of Securing File Uploads. #devsecops

👨‍💻Attacking OpenStack. • Apply Restrictive File Permissions: - Incorrect Example; - Writing Files with Python; - Correct Example; - Secure File Creation in Python; - Verify Ownership and Group; • Avoid Dangerous File Parsing and Object Serialization Libraries; • Python Pipes to Avoid Shells; • Unvalidated URL redirect; • Validate Certificates on HTTPS Connections to Avoid Man-in-the-Middle Attacks; • Create, Use, and Remove Temporary Files Securely: - Python Temporary File Handling; • Restrict Path Access to Prevent Path Traversal; • Use Subprocess Securely; • Parameterize Database Queries: - SQLAlchemy; - MySQL; - PostgreSQL (Psycopg2); • Protect Sensitive Data in Config Files from Disclosure: - Consequences; - Example Log Entries; • Use Secure Channels for Transmitting Data: - Clear Example; - Less Obvious Example; • Escape User Input to Prevent XSS Attacks; • Resources. #devsecops

👨‍💻 Attacking CI/CD. • CI Debug Enabled; • Default permissions used on risky events; • Github Action from Unverified Creator used; • If condition always evaluates to true; • Injection with Arbitrary External Contributor Input; • Job uses all secrets; • Unverified Script Execution; • Arbitrary Code Execution from Untrusted Code Changes; • Unpinnable CI component used; • Pull Request Runs on Self-Hosted GitHub Actions Runner; • Mitigation Strategies; • Example GitHub Actions Workflow; • RCE via Git Clone; • Resources. #devsecops

👨‍💻 Attacking Pipeline. • DevOps resources compromise; • Control of common registry; • Direct PPE (d-PPE); • Indirect PPE (i-PPE); • Public PPE; • Changes in repository; • Inject in Artifacts; • User/Services credentials; • Typosquatting docker registry image; • Resources. #DevOps#DevSecOps

👨‍💻 Attacking Policy. • Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании. • В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent: • Allowed Repositories; • Automount Service Account Token for Pod; • Block Endpoint Edit Default Role; • Block Services with type LoadBalancer; • Block NodePort; • Block Wildcard Ingress; • Disallow Interactive TTY Containers; • Step-by-Step Instructions; • Allow Privilege Escalation in Container; • Step-by-Step Instructions; • Privileged Container; • Read Only Root Filesystem; • Host Networking Ports; • App Armor; • SELinux V2; • Resources. #devsecops

👨‍💻 Attacking Secrets. • Secrets in private repositories; - Scenario: An Attacker Scanning a Private Repository for Secrets; - Example Commands and Codes; • User Credentials in CI Pipelines; - Scenario: An Adversary Exploiting CI Pipeline Credentials; - Example Commands and Codes; • Azure Key-Vault Authentication Abuse; - Azure’s Documentation Overview; • Practical Implementation: Azure’s Authentication Solution; - Steps for Compromising Azure Key Vault; • Azure Key Vault RBAC; • Ansible Vault Secret; - Generating a Hash for Cracking; - Cracking the Hash; - Decrypting the File; • Vault-Backend-Migrator; - Threats; • Kubernetes Sealed Secrets; • chamber; • Vault Secrets Operator; • Buttercup Weak Password; • teller manipulate files; • BlackBox; • Conclusion; - Attacker's Next Steps. #devsecops

👨‍💻 Attacking IaC. • Least Privilege; • Secrets Management; • Encryption of Sensitive Data; • Compliance as code; • terraform plan; • pet Infra; • Storing Terraform State Securely; • Malicious Terraform Providers or Modules; • Securing Terraform Executions with Isolation; • Protecting Sensitive Variables in Terraform Logs; • Securing API Keys and Archivist URLs in HCP Terraform; • Use dynamic credentials; • Terraform Plan vs Terraform Apply; • Replace blacklisted provider. #IaC#DevSecOps

👩‍💻 Attacking Golang. • В последние годы Golang распространяется всё шире и шире. Он известен своей простотой, эффективностью и высокой производительностью. Однако, как и любой язык программирования, неправильные методы разработки могут привести к уязвимостям безопасности. В этой статье описаны возможные проблемы безопасности и рекомендации по безопасной разработке. • SQL Injection; • Command Injection; • Cross-Site Scripting (XSS); • Insecure Deserialization; • Directory Traversal; • CSRF; • SSRF; • File Upload; • Memory Management Vulnerabilities; • Cryptography Failure; • LFI and RFI; • Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT); • Golang pitfalls; • RPC; • Timing Attack. #Go#devsecops

👩‍💻 Ansible Playbooks. - Ansible Inventory Structure; - Ansible Playbook Structure; - Running the Playbook; - Ansible Playbook: SSH Audit; - Linux Kernel Audit; - Nginx Audit; - Apache Audit; - Environment Secret Audit; - SCM (GitLab) Audit; - Docker Container Audit; - Kubernetes Pod Audit; - Database Audit (MySQL and PostgreSQL); - Manage AWS Security Group Rules; - Monitor Critical Files; - Log Collection and Analysis; - Firewall Rules Management with iptables; - Backup and Restore Procedures. #ansible#DevSecOps

🐝 eBPF cheatsheet. • eBPF – это технология, которая позволяет запускать произвольный код пользователя в рамках ядра. Благодаря ей можно сделать программируемое ядро операционной системы и быстро добавлять туда собственную логику и менять существующую. Раньше (сейчас это, впрочем, тоже работает) это можно было делать с помощью модулей ядра, однако сам процесс был сложен, влек за собой ряд рисков и требовал приличных усилий со стороны разработчиков. • eBPF расшифровывается как «extended Berkeley Packet Filter». Packet Filter — это лишь одна из его возможностей. Фактически технология умеет гораздо больше, но исторически развивалась она именно с фильтрации пакетов. Сегодня это настоящая event-driven система, которая начинает работать при наступлении определенных событий: когда приходит пакет, происходит какой-то системный вызов или что-то ещё. В остальное время она не работает и лишь ждет наступления того или иного события. • По ссылкам ниже Вы найдете полезный cheatsheet, который поможет разобраться в работе eBPF и узнать много новой информации: • eBPF Workflow in DevSecOps; - Installation; - Writing eBPF Programs; - Compiling eBPF Programs; - Loading and Attaching eBPF Programs; • Flow Diagram of eBPF in DevSecOps; • Common Use Cases; • eBPF Workflow for Identity Management; - Monitoring Authentication Attempts; - Auditing Privileged Operations; - Tracking API Usage; • Resources. #eBPF#cheatsheet#DevSecOps