infosecurity

🏰 DevSecOps Security Architecture. • Honeypot Network and Services in DevSecOps Security Architecture; • Flume log collection; • Kafka Knowledge System; • Zookeeper Knowledge System; • ElastAlert ES Alarm Tool; • Elastic Knowledge System; • Real IP address Detection; • Nginx configuration log format; • Container security tools; • osquery operating system detection and analysis; • jumpserver open source bastion server; • wazuh Host Intrusion Detection System; • Bro Network Security Monitoring; • GitHub Information Leak Monitoring; • Application layer denial of service attacks; • Slowloris; • Resources. #DevSecOps

👨‍💻 Attacking .NET • Code Access Security (CAS); • AllowPartiallyTrustedCaller attribute (APTCA); • Distributed Component Object Model (DCOM); • Timing vulnerabilities with CBC-mode symmetric; • Race Conditions; • App Secrets; • XML Processing; • Timing attacks; • ViewState is love; • Formatter Attacks; • TemplateParser; • ObjRefs. ➡️https://blog.devsecopsguides.com/p/attacking-net #DevSecOps

👩‍💻 Attacking Rust. - Cargo Dependency Confusing; - Unsafe Code Usage; - Integer Overflow; - Panics in Rust Code; - memory leaks; - Uninitialized memory; - Foreign Function Interface; - OOB Read plus; - race condition to escalate privileges; - TOCTAU race condition; - out-of-bounds array access; - References. #devsecops

👩‍💻 Attacking Java. • Язык программирования Java является одним из самых распространенных языков программирования. На нем написано множество сложных приложений как под Linux, так и под Windows. Однако, как и у любого другого языка программирования, у Java есть свои уязвимости. • Цель этой статьи познакомиться с уязвимостями, типичными для языка программирования Java, а также разобрать практики безопасной разработки. • Spring Boot Actuators Jolokia reloadByURL JNDI Injection; • Understanding the Vulnerability; • Static Vulnerability Analysis; • Remote Class Loading; • Deserialization of Untrusted Data; • Java URI Filter Bypasses and Remote Code Execution; • startsWith Directory Traversal; • endsWith Path Parameter Injection; • Request Forwarding Authentication Bypasses; • Deserialization of Untrusted Data 102; • Object Validation; • java rmi; • jmx security issues; • MBean Writing and Control; • java dynamic proxy; • Static Proxy; • Dynamic Proxy; • Cglib Proxy; • java reflection mechanism; • Use cases of common libraries for XML parsing in XXE; • XXE-DocumentBuilder. #Java#devsecops

👨‍💻OWASP DevSecOps Guideline. • DevSecOps можно рассматривать в качестве апдейта методологии #DevOps: подход подразумевает не расширение классического пайплайна DevOps, а только интеграцию в него методов безопасности. При этом, согласно DevSecOps, к циклу разработки подключаются специалисты по информационной безопасности, которые гарантируют, что: - Реализуемые решения не противоречат требованиям ИБ и регламентам компании; - В конфигурации нет уязвимых мест; - Все компоненты системы имеют актуальные патчи, корректно настроены; - Разработана эксплуатационная документация в контексте ИБ. • Согласно практике DevSecOps, о безопасности разработки нужно начинать думать еще на этапе планирования будущего продукта. В противном случае может возникнуть ситуация, когда, например, код написан идеально, но в техническом дизайне не исключена возможность пользователей назначать себе привилегированные права, что полностью нивелирует любые дальнейшие меры безопасности. • Есть несколько подходов и рекомендаций, определяющих нормы внедрения DevSecOps-принципов в процесс разработки. Одним из базовых фолиантов в этом контексте является DevSecOps Guideline от OWASP — формируемое сообществом руководство, которое поясняет, как правильно выстроить процесс безопасной разработки и выявлять любые проблемы на ранних стадиях их возникновения. https://github.com/OWASP/DevSecOpsGuideline/ #DevSecOps

👩‍💻 Attacking PHP. • ZZZPHP ISSESSION adminid Authentication Bypass; • ZZZPHP parserIfLabel eval PHP Code Injection; • The Ev1l eva1 Deny list; • Shopware PHP Object Instantiation; • XML Parsing; • Crafting the SimpleXMLElement Object for Object Injection; • Pivot Primitives; • Generating a Malicious Phar; • Technique for POP chain development; • Type Juggling; • Time of Check Time of Use (TOCTOU); • Race Condition; • Laravel Framework vs laravel.log. #Php#devsecops

👩‍💻 Attacking NodeJS Application. - Use flat Promise chains; - Set request size limits; - Do not block the event loop; - Perform input validation; - Perform output escaping; - Perform application activity logging; - Monitor the event loop; - Take precautions against brute-forcing; - Use Anti-CSRF tokens; - Prevent HTTP Parameter Pollution; - Do not use dangerous functions; - Use appropriate security headers; - Listen to errors when using EventEmitter; - Set cookie flags appropriately; - Avoid eval(), setTimeout(), and setInterval(); - Avoid new Function(); - Avoid code serialization in JavaScript; - Use a Node.js security linter; - References. #devsecops

👩‍💻 Attacking Azure. • Перенос IT-инфраструктуры в облака — это не дань моде: такой подход позволяет экономить на технической поддержке, резервном копировании и администрировании. К тому же размещение инфраструктуры в облаке считается более защищенным и от сбоев, и от внешних атак. Но есть и эффективные методы взлома наиболее популярных гибридно-облачных сред, таких как Azure. О таких техниках говориться в данной статье: - Security Control; - Execute Command on Virtual Machine using Custom Script Extension; - Execute Commands on Virtual Machine using Run Command; - Export Disk Through SAS URL; - Password Hash Sync Abuse; - Pass the PRT; - Application proxy abuse; - Command execution on a VM; - Abusing dynamic groups; - Illicit Consent Grant phishing; - Add credentials to enterprise applications; - Arm Templates and Deployment History; - Hybrid identity - Seamless SSO; - References. #Azure#devsecops

🌩 Attacking AWS. • В этой статье описаны актуальные методы атак на AWS, которые используют злоумышленники. • Insufficient Security Configuration; • Insecure Data storage; • Insecure Deployment and Configuration Management; • Backdoor Lambda Function Through Resource-Based Policy; • Overwrite Lambda Function Code; • Create an IAM Roles Anywhere trust anchor; • Exfiltrate RDS Snapshot by Sharing; • Backdoor an S3 Bucket via its Bucket Policy; • Exfiltrate an AMI by Sharing It; • Exfiltrate EBS Snapshot by Sharing It; • Execute Discovery Commands on an EC2 Instance; • Download EC2 Instance User Data; • Execute Commands on EC2 Instance via User Data; • Noncompliant Code; • Compliant Code; • Retrieve EC2 Password Data; • Noncompliant Code; • Compliant Code; • Insecure Deployment and Configuration Management; • Local Filesystem; • AWS Security Token; • AWS Security Token Permission enumeration; • ec2:CreateSnapshot and ec2:DescribeVolumes; • Amazon Cognito; • References. #devsecops#aws

👨‍💻 Attacking APIs \ Атаки на API. • Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов. • По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки. ➡️https://blog.devsecopsguides.com/attacking-apis #devsecops

😈 Malicious use of OAuth applications. • Network Response Analysis; • Endpoint Shapes Discovery; - Common Shapes in OAuth 2.0; - Application-Specific Shapes; • OAuth 2.0 Vulnerabilities; - Open Redirects and Token Theft; - URL-Parameter-Based Open Redirect; - Referer-Based Open Redirect; - Exploiting Redirect Chains; - Long-Lived Tokens; - Insecure Redirects; - Case 1: Attack with URL Parameter; - Prevention: Method 1 - Use White-Listed Domain; - Lack of State Check in OAuth; - Case 1: Attack with State Parameter; - Prevention: Method 1 - Use State Randomize Parameter; • Creating Malicious OAuth Applications; • OAuth Security Checklist; • AUTHENTICATOR Pattern. #OAuth#devsecops

👩‍💻 Nginx Path Configuration Pitfalls. • Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для атакующих. Благодаря этому материалу, можно понять какие ошибки в конфигурациях встречаются чаще всего и как их исправить. Attacks: • Nginx Configuration Vulnerability; • Exploiting Trailing Slash Misconfiguration; • Exploiting Parent Directory Access; • Impact Without Trailing Slash on Alias; • Combined Impact. Defend Against Attacks: • Update Nginx; • Configuration Check; • Use Configuration Management; • Security Headers; • Access Control; • Directory Listing; • Alias Traversal Protection; • HTTP to HTTPS Redirect; • SSL Configuration; • Rate Limiting; • Connection Limits; • Custom Error Pages; • Gzip Compression; • Client-Side Caching; • HTTP2 Protocol; • Secure File Permissions; • Web Application Firewall (WAF); • Monitoring and Logging; • SSH Hardening; • Firewall Configuration; • Two-Factor Authentication; • Regular Backups; • Deny Hidden Files; • IP Whitelisting; • Disable Unused Modules; • Use Trailing Slash in Alias Directives; • Regular Expression Matching; • Implement Strict Location Paths. #Nginx#devsecops