Безопасность web-приложений с Falcoya!

Всем привет!

Нет, вам не показалось ☺️ Falcoya – некоторое «логический» преемник Falco в части безопасности web-приложений. И да! Open-source!

Если просто, то она анализирует Nginx Access Logs в режиме реального времени с использованием Falco для обнаружения атак.

Алгоритм работы следующий:
🍭 Входящий запрос попадает на Nginx
🍭 Создается запись в /var/log/nginx/access.log
🍭 Falcoya анализирует новую строку
🍭 В случае обнаружения чего-то подозрительного создается оповещение

На текущий момент с ее помощью можно идентифицировать SQLi, XSS и Command Injection, Directory Traversal и другие.

Больше подробностей о Falcoya можно узнать на официальном сайте или GitHub-репозитории проекта.

Важно: проект пока что находится в prototype release stage.

Autoswagger: анализ API

Всем привет!

Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API.

Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней.

Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена.

Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений).

Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.

VAmPI: еще-одно-заведомо-уязвимое-приложение

Всем привет!

По ссылке можно посмотреть на проект VAmPI – уязвимое API, созданное на базе Flask, включающее в себя уязвимости из OWSAP Top-10.

Например:
🍭 SQLi Injection
🍭Unauthorized Password Change
🍭Broken Object Level Authorization
🍭Mass Assignment
🍭Excessive Data Exposure through debug endpoint
🍭User and Password Enumeration
🍭RegexDOS (Denial of Service)
🍭Lack of Resources & Rate Limiting
JWT authentication bypass via weak signing key

Swagger UI прилагается, чтобы можно было проще взаимодействовать с приложением. Запускается в контейнере и сразу «готово к использованию».

Больше подробностей о проекте можно найти в его GitHub-репозитории.

Безопасность GitHub Actions с SonarQube

Всем привет!

По ссылке доступна статья от Авторов SonarQube, в которой они разбирают чем он может быть полезен при анализе GitHub Actions.

После небольшого введения про GitHub Actions, рассматривается несколько сценариев атак.

Например:
🍭 Command Injection, реализуемая через github.event.issue.title
🍭 Command Injection, реализуемая через pull_request_target
🍭 Code Execution, через выполнение Third Party Action

Для каждого из рассматриваемых примеров приводятся рекомендации по предотвращению, ссылки на полезные материалы по теме и идентификационные номера уязвимостей, которые рассматриваются в статье для дальнейшего изучения.

Software Factory Security Framework

Всем привет!

По ссылке можно найти Software Factory Security Framework (SF2), подготовленный командой GitLab.

Ключевая аудитория – руководители, которым необходим комплексный стратегический подход к развитию практик безопасной разработки.

Согласно предложенному подходу сперва необходимо определить «Кто вы?». Есть 4 варианта – Visionaries, Leaders, Niche Players или Challengers.

В зависимости от результата SF2 предлагает свой путь развития и понимания первоочередных задач.

Для каждого пути рассматриваются блоки:
🍭 Strategic Priorities
🍭 Quick Start Checklist
🍭 Investment Roadmap
🍭 Common Pitfalls
🍭 Success Indicator

А внутри каждого блока есть отдельные «деления». Например, в Success Indicators представлены метрики, которые можно достичь за 6, 12 и 24 месяца.

Помимо этого, есть рекомендации о том, как лучше использовать SF2 вместе с NIST SSDF, OWASP SAMM, BSIMM и OWASP ASVS.

В общем – чтения «внутри» крайне много, рекомендуем к изучению! ☺️

Security Observability в Kubernetes: не логами едиными!

Всем привет!

Когда говорят про безопасность Kubernetes, то, зачастую, это разговор про анализ образов контейнеров, контроль используемых конфигураций, сетевые политики, защита запущенных контейнеров.

Нюанс в том, что они могут работать «сами по себе» и, в случае реализации инцидента, очень сложно понять общую картину.

Т.е. становится трудно быстро ответить на вопросы:
🍭 Какой pod запрашивал доступ к секретам за последний час?
🍭 Был ли в каком-либо контейнере запущен процесс, которого не должно быть?
🍭 Какие подозрительные API-вызовы делал Service Account
🍭 С какими внешними сервисами осуществлялось взаимодействие?
🍭 Можно ли всю эту информацию как-то связать с пользовательскими действиями?
за условные 60 минут становится просто нереально.

В статье Автор рассматривает подход, который может это исправить.

За «основу» он берет Kubernetes Audit Logs и Falco, рассматривает как можно «комбинировать» получаемые из них данные для повышения общей observability анализируемого кластера.

Завершают статью размышления Автора о том, как можно расширить описанный подход и на сеть при помощи Cilium Hubble.

В итоге имеем очень хорошую статью о том, как можно улучшить мониторинг кластера.

Codeaudit: SAST для Python

Всем привет!

Codeaudit – утилита, которая позволяет анализировать Python-проекты для выявления проблем, связанных с информационной безопасностью.

Он позволяет:
🍭 Получать общую информацию о проекте (файлы, SLOC, AST Nodes, модули, оценка сложности проекта)
🍭 Получать аналогичную информацию для конкретного файла
🍭 Идентифицировать уязвимости в исходном коде
🍭 Предоставляет информацию по уязвимостям, найденных в импортируемых модулях (за основу берется OSV Database).

Помимо этого, Codeaudit может формировать отчетность. Увы, по умолчанию только в HTML. Из плюсов – очень приятный и понятный визуально отчет. Чтобы сгенерировать JSON надо реализовать некоторые манипуляции, о чем детально и с примерами написано в документации.

«Из коробки» доступно более 70 правил, которые позволяют выявлять уязвимости. У проекта есть очень подробная документация, с которой можно ознакомиться по ссылке.

AI AppSec Team

Всем привет!

А почему бы и нет? Решение вопроса кадрового голода в ИБ. Если без шуток, то в статье Автор описывает очень интересный эксперимент.

Он выделил повседневные активности AppSec-команды и подготовил отдельных агентов для решения каждой из них.

В команду попали:
🍭 Code Reviewer: идентифицирует уязвимости
🍭 Exploiter: создает exploit для найденных уязвимостей
🍭 Mitigation Expert: исправляет уязвимости
🍭 Report Writer: создает детальные отчеты о проделанной работе

За основу была взята LLM - mixtral-8x7b-32768. Далее Автор на примере небольшого куска уязвимого кода «показывает», как работает весь процесс – от используемых prompt до полученных результатов.

Каких именно? Ответы можно найти в статье 😊

P.S. Да, это лишь небольшой PoC на очень простом «примере» и масштабирование такого подхода (если возможно) потребует определенных усилий.

Тем не менее, что-то интересное в этом есть

DevSecOps Pipeline Security Checklist

Всем привет!

Небольшой пятничный пост, в котором можно найти еще один checklist по DevSecOps, в котором собраны рекомендации о том, как, что и когда надо делать.

Он структурирован по этапам жизненного цикла разработки ПО:
🍭 Plan & Design Security (Threat Modelling, Security Requirements & Architecture Review)
🍭 Code & Commit Security (Coding Practices, Secret Management, SAST, SCA)
🍭 Build & Artifact Security (Secure Build Environment, Container Security, Supply Chain Security)
🍭 Test & Validate Security (DAST, IAST, Penetration Testing, Fuzz Testing)
🍭 Deploy & Runtime Security (IaC Security, RASP, Configuration Management, Secrets Injection)
🍭 Operate & Monitor Security (Logging and Monitoring, Incident Response Integration, Vulnerability Management, Compliance & Auditing)

Для каждого раздела приводится несколько рекомендаций о том, что надо делать.

Дополнительно в статье есть ссылки на полезные материалы по теме.

Supply Chain: ретроспектива за 2024/2025 года

Всем привет!

По ссылке можно найти агрегированную информацию о нашумевших атаках на цепочку поставки ПО, реализованных за 2024/2025 года.

В выборку попали: XZ Utils. Shai-Hulud, MavenGate, Ultralytics и многие другие. Для каждой их них Автор приводит ссылку для более детального изучения.

Помимо этого, Автор описывает наиболее «популярные» векторы:
🍭 Phishing
🍭 Control Handoff
🍭 pull_request_target и issue_comment
🍭 Long-lived Credentials Exfiltration и не только

Для каждого из них в статье можно найти рекомендации по противодействию.

Очень хороший обзорный материал, который мы рекомендуем к ознакомлению!

Kite: еще-один-Kubernetes-UI!

Всем привет!

Да, все так! Kite – open-source проект, который позволяет визуализировать состояние кластера Kubernetes.

Если кратко, то он умеет:
🍭 Предоставлять информацию о ресурсах (Deployments, StatefulSets, DaemonSets и т.д.)
🍭 Управлять ресурсами (создавать, масштабировать, удалять и т.д.)
🍭 Предоставлять информацию о потребляемых ресурсах
🍭 Отображать логи ресурсов
🍭 «Подключать» к контейнеру через терминал и много всего еще

Kite позволяет работать сразу с несколькими кластерами Kubernetes одновременно.

Функционал разграничения прав доступа пользователей также присутствует.

Если вы хотите немного поработать с ним, но не хочется устанавливать, то можно воспользоваться вот этим ресурсом.

Ну и самое главное! Темная тема на месте! 😊

DevSecOps University

Всем привет!

По ссылке можно найти перечень полезных материалов по DevSecOps. В нем представлены видео, книги, статьи, блоги и т.д. Как платные, так и бесплатные.

По темам выделены следующие:
🍭 Git, CI/CD
🍭 Artifact Management
🍭 Infrastructure as Code
🍭 Threat Modelling
🍭 SAST, DAST
🍭 Security as Code, Compliance as Code

Подборка может быть полезна, если вы только начинаете свое приключение. Возможно, что те, кто уже в пути, смогут найти что-то полезное и для себя.

Container Security от Liz Rice (второе издание)

Всем привет!

В приложении можно скачать второе издание книги «Container Security» от Liz Rice.

Liz достаточно известна в мире безопасности контейнеризации. Она работала в Aqua, Isovalent, является спикером множества конференций и одним из авторов CIS Benchmark для Docker.

Книга структурирована по разделам:
🍭 Container Security Threats
🍭 Linux System Calls, Permissions and Capabilities
🍭 Control Groups
🍭 Container Isolation, Virtual Machines
🍭 Supply Chain Security
Breaking Container Isolation и не только

Очень хороший материал с подробным описанием, примерами и набором тем, который охватывает множество областей защиты контейнеров.

Рекомендуем!

Trivy MCP Server

Всем привет!

Trivy – очень популярный open source инструмент, который используется многими специалистами. Она позволяет сканировать образы контейнеров на наличие уязвимостей, искать секреты, анализировать конфигурационные файла и не только.

Недавно был представлен Trivy MCP Server. Если просто, то это некий «помощник», который может встраиваться в IDE.

Он может помочь, например, в решении задач:
🍭 Я хочу использовать образ <image_name> в качестве базового, но не уверен есть ли в нем уязвимости
🍭 Мне нужно обновить образ до последней версии

В IDE будут предоставлены ответы от Trivy о том, какие есть уязвимости, какие есть ошибки в конфигурациях и как это можно исправить.

На текущий момент поддерживается VS Code, Cursor, IDE от JetBrains и Claude Desktop Integration.

Больше информации о проекте можно найти в репозитории или в документации.

Breaking Into GitLab

Всем привет!

Небольшая «пятничная статья», в которой Автор разбирает простую атаку на Self-Hosted GitLab. Начинается она с краткого описания сущностей и дальше переходит к самому интересному.

Рассматривается сценарий:
🍭 Initial Access: Hijacking a Runner. Задача – найти Instance Runner, который будет использован для дальнейшего развития атаки
🍭 Закрепление через Reverse Shell
🍭 Поиск того, что может помочь развить атаку
🍭 Закрепление в облаке (при условии, что Self-Managed GitLab развернут в нем)

Сам сценарий достаточно простой, но хорошо иллюстрирует то, что может произойти если не задумываться о безопасность процесса сборки.

В завершении Автор дает общие рекомендации о том, как можно защититься.

Если хочется больше материалов по теме, то можно обратить к этому руководству от Wiz.

Forkspacer: создание fork’ов ресурсов и данных Kubernetes

Всем привет!

Forkspacer – open-source решение, которое позволяет создавать fork для окружения разработки. При этом «копируется» не только конфигурация, но и данные.

Может быть полезно, например, для случаев, когда каждой ветке разрабатываемого приложения нужно свое собственное окружение.

Помимо этого, Forkspacer позволяет реализовать гибернацию используемых ресурсов. Например, на случай, когда они не используются.

Настраивается достаточно просто – необходимо создать ресурс Workspace, в котором указать какой namespace мы хотим «скопировать» и указать что именно нужно копировать (ресурсы, данные и т.д.).

После этого Forkspacer создаст нужное окружение, с которым можно работать не опасаясь, что в исходном «что-то сломается».

Подробнее об архитектуре, установке, настройке, сценариях использования и примерах можно узнать в GitHub-репозитории проекта или в официальной документации.