Вдруг кому-то неудобно смотреть на схемки - ловите PDF!😉

Уф, какая прикольная штука! Куча ссылочек на полезные материалы по моделированию угроз, статическому анализу, динамике, управлению зависимостями... В общем - гитхаб с гитхабами:)

В принципе, нет смысла смотреть а что там про Snyk написано или про gosec, но посмотреть лабы purpleteam'а и threat mapper'ы - надо!

Ну что, кажется пора рассказать об одной своей активности!

Вы ведь видели у меня ссылочки на подкасты на каком-то SafeCode?...

Так вот, это конференция по безопасности приложений, которую готовят замечательные Джуги, а вместе с ними и я и не только:)) Это будет полноценная конфа, посвященная именно Application Security - не просто трек, не просто подкасты, а прям целая конференция. Звучит зашибись, по-моему🔥

Ну и на сладкое, открываем Call for Papers! Я в программном комитете, поэтому обещаю ревьюить ваши подачи, а в случае, если все сложится - помогу выступить с прекрасным материалом😉

Welcome and enjoy!

P.S. Если вы не нашли тему, на которую хотите сделать доклад - все равно подавайтесь, разберемся:) Главное, чтобы это касалось безопасности приложенек!

Недавно готовила материал, в котором затронула тему зарождения DevSecOps'а - ну, само собой не обошла добрым словом и DevOps. Вкратце, DevOps'у пришлось появиться, потому что рынок диктовал свои условия. Надо быстро, надо качественно. А еще и доставка теперь не как раньше, а в облака☁️!

А потом и нужно еще быстрее и еще качественнее. И вот, чтобы этим управлять появился его величество Кубернетес. Я тут часто кидаю материалы, которые и с контейнерной безопасностью арбайтен очень даже. Но захотелось закинуть пару базовых советов, как сделать не только быстро и качественно, но еще и безопасно:)

- Сканируйте image'и на наличие уязвимостей (хотя бы просто иногда, если нет возможности регулярно)

- Никогда ничего нельзя запускать под root'ом!

- Принцип минимальных привилегий - любить, внедрить.

- На пути к 0-Trust включите mtls.

- Секреты - они на то и секреты, чтобы никому не говорить.

- Проработайте вопрос внесения изменений. Это правда понадобиться.

- Метрики - это потрясающе, но observability - основа.

- Что вошло и что вышло? Контролируйте трафик.

А если что-то захотелось почитать - то статейка Cloudian )

На самом деле, я не все ресурсы OWASP'а люблю, но сильно открыто не комментирую в негативном ключе - потому что, если хаять, то что-то предлагай или не контрибьютишь - не выпендривайся.

Но вот этот гайд мне нравится. Там и контрольные чеклисты ревью, и примеры моделирования угроз, и dos&don'ts для процесса код-ревью. Ну однозначно забрать!

#guides

Казалось бы, причем тут джинсы с ширинкой сзади?

Но как еще доступно рассказывать, что такое API и почему его, бедолагу, надо защищать? Помимо аналогии со штанами, API еще красиво описывают в виде дорог, а запросы - в виде машинок🚗*
Представьте, как дофига у вас может быть разных приложений и с каким "дофига" они могут взаимодействовать? По-моему, вектор угрозы актуальный. Если нет идей с чего начинать - вам придется сделать карту приложений и их API. Сложно защищать то, что не видно😉

Еще факт: приложения у вас разные, и API могут работать по-разному. Если я понимаю, как защитить свои приложения - ваши работают иначе, поэтому надо определить, как реализовать атаки с помощью API и разработать механизмы защиты.

Для управления безопасностью API, нужно отслеживать все прилоги и куда-то складывать поведенческую аналитику запросов, чтобы ее можно было использовать для определения угроз и векторов атак. Инструментам должен помогать кожаный, не так ли?:)
Поэтому запустим полноценный цикл постов, чтобы прокачать #apisecurity. Так что следующие недели будут трибьютом безопасности апишек.

*Пример с дорогами не так поэтичен, как джинсы😉

А давно ли вам читали сказку?

Кажется, сегодня прекрасный день для этого!

Сегодня буду рассказывать про AppSec в формате сказки, где добро победит🫰конференцию-выезд организуют мои большие друзья из RadCop, у них я готова освещать новости безопасной разработки даже в выходные🫶

Друзья, ссылочка на все доклады двух дней! Для меня формат предсказаний в отрасли был первым, поэтому - если посмотрите, буду рада с вами обсуждать!😉

Ну что, как и обещала - стрим, посвященный безопасности API!

С чего бы начать?

Логично, что с каких-то общих вещей. Раз уж тема безопасности API становится модной и хайповой - давайте посмотрим, что там вообще происходит?

Ну, начинаем с API-рисков, которые были аккурат в 2023 году апдейтнуты OWASP'ом!

Как нельзя лучше для открытия #APISECURITY WEEKS😏

#APISECURITY WEEKS начинается с обзорной экскурсии в мир OWASP API TOP 10 и одного выдуманного магазина.

API1:2023 Broken Object Level Authorization (BOLA)

Что делает хацкер? Использует эндпоинты API, которые могут быть уязвимы для нарушения авторизации на объектном уровне. При этом идентификаторы объектов могут быть вообще любыми. Актуально это потому что серверный компонент не отслеживает состояние на стороне клиента и полагается только на ID-шки, которые идут на сервер. Казалось бы, а что тут плохого? Ну, как минимум, он получает доступ к данным будучи не авторизованным - а это уже и раскрытие информации, и потеря данных, и что-нибудь еще. Все-таки, пользователь (или же хацкер) должны получать доступ только туда, куда им можно.

Пример: крупная компания по доставке товаров из интим-магазина🔞 создает API, который позволяет пользователю получить доступ к списку всех отправлений и посмотреть, какой именно аппарат для пентеста😏 к кому поехал. А потом можно шантажировать:)

Дальше больше! Продолжаем #APISECURITY WEEKS🙌

API2:2023 Broken Authentication

Представим, что авторизоваться все-таки надо, а вот как там проверяется аутентификация? Если где-то на уровне API есть проблема с методами аутентификации или механизмами аутентификации - это же интересно раскопать!

Что может делать злоумышленник? Ну, как минимум перебирать пароли по словарям, особенно, если нет нормального ограничения на вход в систему. (а была бы двухфакторка, вот это вот бы все я тут не писала...🙄)

Пример: все тот же магазин 18+ решил сделать вход в приложение по телефону и моментальному (ага, моментальному) коду в СМС. Злой человек предполагает, что его коллега что-то приобретает в этом магазине и решает... проверить! Вводит телефон, а дальше... просто перебирает коды доступа и вуаля! Он уже в личном кабинете смотрит на все покупочки коллеги:)

Ну что, под окончание рабочего дня третий пост #APISECURITY WEEKS👀

Если вам нужно что-то почитать* по дороге домой из вашего прекрасного френдли офиса с печеньками, то кажется, это оно!

API3:2023 Broken Object Property Level Authorization

Опять про эндпоинты. Внимание, щас сильно актуально для REST'ов: бывает так, что эндпоинты возвращают все свойства объекта😉. Такое себе. Это опять же несанкционированный доступ к конфиденциальным данным и персухе, который приведет к тому, что они перестанут быть сильно конфиденциальными. При этом, он может получить доступ и просто к конкретным желаемым свойствам объекта.

Пример: в нашем уже привычном магазине закончились инструменты для мотивации сотрудников😞. Значит, кто-то их раскупил. И вот, наш хакер использует несовершенство API, получая без авторизации список всех учетных записей (вдруг это его директор закупил и завтра его будут мотивировать?), которые покупали инструменты...