rxd_txd
306 subscribers
479 photos
25 videos
22 files
2.71K links
[
{
"channel":"rxd_txd",
"info":"my bookmarks",
"feedback":"@flsixtyfour",
"topics":[
"devops",
"linux",
"sci",
"music",
"go",
"/dev/null"
]
}
]
Download Telegram
Forwarded from Information Hardening
#web #tools #конфигурация

Бесплатные SSL-сертификаты

Ваш сайт все еще на голом HTTP? Некомильфо, ребята. Вон и Chrome такие сайты называет небезопасными. Да и вообще, в чем сложность то?

Вот https://letsencrypt.org предлагает бесплатные SSL-сертификаты, быстро и просто.

А если сайт на Apache или nginx на актуальной сборке линукса, то ВСЯ установка, выписка сертификата и настройка выглядит примерно так:

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx
sudo certbot --nginx

Он и редиректы на HTTPS сразу сам настроит, если вы согласитесь. Так что на выходе получаете уже рабочий сайт.

Вот тут можно посмотреть список поддерживаемых систем и найти команды для своей конфигурации: https://certbot.eff.org/.
Forwarded from YAH
#tools

Слышал как-то об инструменте для тестирования конфигураций веб-сервера nginx на наличие уязвимостей, но не обратил на него внимания. Сейчас узнал, что этот инструмент имеет в репозитории хорошо описанные сценарии эксплуатации искомых уязвимостей и неплохую Вики. Оцените:
https://github.com/yandex/gixy

P.S. вот например всем известная aliastraversal: https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md
Forwarded from DevOps Deflope News
И подборка интересных утилит, которые попались на глаза недавно.

* ctop — top для контейнеров http://amp.gs/Vhpp
* bashful — красивая замена баша на стероидах http://amp.gs/Vhpv
* scenery — удобная штука, чтобы сделать лог терраформа более читаемым http://amp.gs/VhpV
* git-chglog — генератор ченжлога из истории коммитов http://amp.gs/Vhpf
* bob (Bob Build Tool) — кроссплатформенное решение автоматизации билдов http://amp.gs/Vhp4
* act — утилита для локальной отладки GitHub Actions http://amp.gs/VhpO
* chezmoi — интересная утилита для безопасной организации работы с dot файлами http://amp.gs/VhpU

* krew — менеджер плагинов для kubectl http://amp.gs/VhpG
* helm-diff — плагин для helm, который покажет что изменится при выполнении helm upgrade. http://amp.gs/Vhpk
* kubectl-debug — решение для дебага подов, запускает новый контейнер с кучей установленных тулов http://amp.gs/Vhpy
* netshoot — контейнер с разными утилитами для отладки сети в Docker + Kubernetes http://amp.gs/Vhpg

#digest #tools
Forwarded from DevOps Deflope News
Немножко утилит про сети.

* ksniff — kubectl плагин, который использует tcpdump и Wireshark для снятия трафика в любом поде в кластере Kubernetes.
http://amp.gs/VWbN
P.S. Напоминаю, что плагины kubectl теперь можно удобно ставить с помощью krew
http://amp.gs/VWbJ

* kubefwd — решение для форвардинга портов из Kubernetes на локальное окружение.
http://amp.gs/VWbL

* sshuttle — простая штука для создания подобия VPN через ssh соединение без админских прав.
http://amp.gs/VWb3
И kuttle — обертка для sshuttle для kubectl для пробрасывания сети из Kubernetes на локалхост.
http://amp.gs/VWb2

#tools #network
Подсмотрел в чатах сегодня две утилитки для работы с docker
1) TUI консолька для docker
https://medium.com/@sho19921005/i-developed-tui-tool-for-docker-ebf48da51c6a
2) Более полезная штука для анализа docker layer https://github.com/wagoodman/dive
#tools #tui #docker
Forwarded from YAH
#tools

Друзья подкинули отличный конвертер из чего угодно во что угодно:D
Все чем я когда либо пользовался для конвертации форматов, кодировок, шифров, хешей и пр. есть здесь:

https://gchq.github.io/CyberChef/

P.S. Все реализовно на JS, можно выкачать конвертер себе в оффлайн инструмент.
P.P.S. Можно реализовывать конвертацию по списку правил из одного формата в другой и т.д. просто задав набор модулей.
P.P.P.S. Есть темная тема :D
Forwarded from DevOps Deflope News
Небольшая подборочка различных утилит вокруг Terraform 🚨

* tfsec — статический анализатор кода, поддерживает 0.12, имеет разные общие и специфические для aws/azure проверки http://amp.gs/stgL (по идее чего-то похожего можно добиться с помощью http://amp.gs/stE1 , но политики придется писать самим 😿)
* terraform-compliance — похожее решение, позиционируется как аналог платного Sentinel http://amp.gs/stgM
* TFLint — линтер для терраформа, сильно ориентирован на AWS http://amp.gs/stg6 (одно время разработка не сильно двигалась, но с недавнего времени проект весьма живой)
* Terraboard — дашборд для визуализации стейта Terraform из S3 бакетов http://amp.gs/stE8
* terraform-docs — утилита для генерации документации из Terraform модулей http://amp.gs/stgb

Ну и конечно pre-commit-terraform от Anton Babenko 😉. Это отличный набор git хуков для различных операций, от форматирования и валидации до генерации документации. http://amp.gs/stga
#terraform #tools #github
Forwarded from Патчкорд
Обёртка для nmap - sandmap. Уже приготовленный nmap для разных задач, плюс интерактивный командный интерфейс, чтобы не помнить все 100500 опций и скриптов. Забирать с GitHub, там же есть помощь на Wiki.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
On-Demand Container Scanning API

Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.

Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/

#tools #docker
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
DefectDojo

DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)

#tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
IAST and hybrid analysis

SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)

IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.

Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)

2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)

3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)

Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys

Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona

Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application

Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis

Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis

#iast #tools #sast #dast
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Docker-Slim

Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может также автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.

Пример работы

DockerSlim Demo ( Docker Global Hack Day )

#docker #tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Validating Kubernetes YAML for best practice and policies

В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris

https://learnk8s.io/validating-kubernetes-yaml

#tools #sast #k8s