Forwarded from Information Hardening
#web #tools #конфигурация
Бесплатные SSL-сертификаты
Ваш сайт все еще на голом HTTP? Некомильфо, ребята. Вон и Chrome такие сайты называет небезопасными. Да и вообще, в чем сложность то?
Вот https://letsencrypt.org предлагает бесплатные SSL-сертификаты, быстро и просто.
А если сайт на Apache или nginx на актуальной сборке линукса, то ВСЯ установка, выписка сертификата и настройка выглядит примерно так:
Он и редиректы на HTTPS сразу сам настроит, если вы согласитесь. Так что на выходе получаете уже рабочий сайт.
Вот тут можно посмотреть список поддерживаемых систем и найти команды для своей конфигурации: https://certbot.eff.org/.
Бесплатные SSL-сертификаты
Ваш сайт все еще на голом HTTP? Некомильфо, ребята. Вон и Chrome такие сайты называет небезопасными. Да и вообще, в чем сложность то?
Вот https://letsencrypt.org предлагает бесплатные SSL-сертификаты, быстро и просто.
А если сайт на Apache или nginx на актуальной сборке линукса, то ВСЯ установка, выписка сертификата и настройка выглядит примерно так:
sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx
sudo certbot --nginx
Он и редиректы на HTTPS сразу сам настроит, если вы согласитесь. Так что на выходе получаете уже рабочий сайт.
Вот тут можно посмотреть список поддерживаемых систем и найти команды для своей конфигурации: https://certbot.eff.org/.
https://github.com/enaqx/awesome-pentest#vulnerability-databases
https://www.digitalmunition.me/2018/06/complete-penetration-testing-hacking-tools-list-security-professionals/
#pentest #tools #collection #github
https://www.digitalmunition.me/2018/06/complete-penetration-testing-hacking-tools-list-security-professionals/
#pentest #tools #collection #github
GitHub
GitHub - enaqx/awesome-pentest: A collection of awesome penetration testing resources, tools and other shiny things
A collection of awesome penetration testing resources, tools and other shiny things - enaqx/awesome-pentest
Forwarded from YAH
#tools
Слышал как-то об инструменте для тестирования конфигураций веб-сервера nginx на наличие уязвимостей, но не обратил на него внимания. Сейчас узнал, что этот инструмент имеет в репозитории хорошо описанные сценарии эксплуатации искомых уязвимостей и неплохую Вики. Оцените:
https://github.com/yandex/gixy
P.S. вот например всем известная aliastraversal: https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md
Слышал как-то об инструменте для тестирования конфигураций веб-сервера nginx на наличие уязвимостей, но не обратил на него внимания. Сейчас узнал, что этот инструмент имеет в репозитории хорошо описанные сценарии эксплуатации искомых уязвимостей и неплохую Вики. Оцените:
https://github.com/yandex/gixy
P.S. вот например всем известная aliastraversal: https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md
GitHub
GitHub - yandex/gixy: Nginx configuration static analyzer
Nginx configuration static analyzer. Contribute to yandex/gixy development by creating an account on GitHub.
Forwarded from DevOps Deflope News
И подборка интересных утилит, которые попались на глаза недавно.
* ctop — top для контейнеров http://amp.gs/Vhpp
* bashful — красивая замена баша на стероидах http://amp.gs/Vhpv
* scenery — удобная штука, чтобы сделать лог терраформа более читаемым http://amp.gs/VhpV
* git-chglog — генератор ченжлога из истории коммитов http://amp.gs/Vhpf
* bob (Bob Build Tool) — кроссплатформенное решение автоматизации билдов http://amp.gs/Vhp4
* act — утилита для локальной отладки GitHub Actions http://amp.gs/VhpO
* chezmoi — интересная утилита для безопасной организации работы с dot файлами http://amp.gs/VhpU
* krew — менеджер плагинов для kubectl http://amp.gs/VhpG
* helm-diff — плагин для helm, который покажет что изменится при выполнении helm upgrade. http://amp.gs/Vhpk
* kubectl-debug — решение для дебага подов, запускает новый контейнер с кучей установленных тулов http://amp.gs/Vhpy
* netshoot — контейнер с разными утилитами для отладки сети в Docker + Kubernetes http://amp.gs/Vhpg
#digest #tools
* ctop — top для контейнеров http://amp.gs/Vhpp
* bashful — красивая замена баша на стероидах http://amp.gs/Vhpv
* scenery — удобная штука, чтобы сделать лог терраформа более читаемым http://amp.gs/VhpV
* git-chglog — генератор ченжлога из истории коммитов http://amp.gs/Vhpf
* bob (Bob Build Tool) — кроссплатформенное решение автоматизации билдов http://amp.gs/Vhp4
* act — утилита для локальной отладки GitHub Actions http://amp.gs/VhpO
* chezmoi — интересная утилита для безопасной организации работы с dot файлами http://amp.gs/VhpU
* krew — менеджер плагинов для kubectl http://amp.gs/VhpG
* helm-diff — плагин для helm, который покажет что изменится при выполнении helm upgrade. http://amp.gs/Vhpk
* kubectl-debug — решение для дебага подов, запускает новый контейнер с кучей установленных тулов http://amp.gs/Vhpy
* netshoot — контейнер с разными утилитами для отладки сети в Docker + Kubernetes http://amp.gs/Vhpg
#digest #tools
Forwarded from DevOps Deflope News
Немножко утилит про сети.
* ksniff — kubectl плагин, который использует tcpdump и Wireshark для снятия трафика в любом поде в кластере Kubernetes.
http://amp.gs/VWbN
P.S. Напоминаю, что плагины kubectl теперь можно удобно ставить с помощью krew
http://amp.gs/VWbJ
* kubefwd — решение для форвардинга портов из Kubernetes на локальное окружение.
http://amp.gs/VWbL
* sshuttle — простая штука для создания подобия VPN через ssh соединение без админских прав.
http://amp.gs/VWb3
И kuttle — обертка для sshuttle для kubectl для пробрасывания сети из Kubernetes на локалхост.
http://amp.gs/VWb2
#tools #network
* ksniff — kubectl плагин, который использует tcpdump и Wireshark для снятия трафика в любом поде в кластере Kubernetes.
http://amp.gs/VWbN
P.S. Напоминаю, что плагины kubectl теперь можно удобно ставить с помощью krew
http://amp.gs/VWbJ
* kubefwd — решение для форвардинга портов из Kubernetes на локальное окружение.
http://amp.gs/VWbL
* sshuttle — простая штука для создания подобия VPN через ssh соединение без админских прав.
http://amp.gs/VWb3
И kuttle — обертка для sshuttle для kubectl для пробрасывания сети из Kubernetes на локалхост.
http://amp.gs/VWb2
#tools #network
Forwarded from Пятничный деплой
Подсмотрел в чатах сегодня две утилитки для работы с docker
1) TUI консолька для docker
https://medium.com/@sho19921005/i-developed-tui-tool-for-docker-ebf48da51c6a
2) Более полезная штука для анализа docker layer https://github.com/wagoodman/dive
#tools #tui #docker
1) TUI консолька для docker
https://medium.com/@sho19921005/i-developed-tui-tool-for-docker-ebf48da51c6a
2) Более полезная штука для анализа docker layer https://github.com/wagoodman/dive
#tools #tui #docker
Medium
I Developed TUI tool for Docker.
Hello Everyone.
Are you using Docker?
Are you using Docker?
Forwarded from YAH
#tools
Друзья подкинули отличный конвертер из чего угодно во что угодно:D
Все чем я когда либо пользовался для конвертации форматов, кодировок, шифров, хешей и пр. есть здесь:
https://gchq.github.io/CyberChef/
P.S. Все реализовно на JS, можно выкачать конвертер себе в оффлайн инструмент.
P.P.S. Можно реализовывать конвертацию по списку правил из одного формата в другой и т.д. просто задав набор модулей.
P.P.P.S. Есть темная тема :D
Друзья подкинули отличный конвертер из чего угодно во что угодно:D
Все чем я когда либо пользовался для конвертации форматов, кодировок, шифров, хешей и пр. есть здесь:
https://gchq.github.io/CyberChef/
P.S. Все реализовно на JS, можно выкачать конвертер себе в оффлайн инструмент.
P.P.S. Можно реализовывать конвертацию по списку правил из одного формата в другой и т.д. просто задав набор модулей.
P.P.P.S. Есть темная тема :D
Forwarded from DevOps Deflope News
Небольшая подборочка различных утилит вокруг Terraform 🚨
* tfsec — статический анализатор кода, поддерживает 0.12, имеет разные общие и специфические для aws/azure проверки http://amp.gs/stgL (по идее чего-то похожего можно добиться с помощью http://amp.gs/stE1 , но политики придется писать самим 😿)
* terraform-compliance — похожее решение, позиционируется как аналог платного Sentinel http://amp.gs/stgM
* TFLint — линтер для терраформа, сильно ориентирован на AWS http://amp.gs/stg6 (одно время разработка не сильно двигалась, но с недавнего времени проект весьма живой)
* Terraboard — дашборд для визуализации стейта Terraform из S3 бакетов http://amp.gs/stE8
* terraform-docs — утилита для генерации документации из Terraform модулей http://amp.gs/stgb
Ну и конечно pre-commit-terraform от Anton Babenko 😉. Это отличный набор git хуков для различных операций, от форматирования и валидации до генерации документации. http://amp.gs/stga
#terraform #tools #github
* tfsec — статический анализатор кода, поддерживает 0.12, имеет разные общие и специфические для aws/azure проверки http://amp.gs/stgL (по идее чего-то похожего можно добиться с помощью http://amp.gs/stE1 , но политики придется писать самим 😿)
* terraform-compliance — похожее решение, позиционируется как аналог платного Sentinel http://amp.gs/stgM
* TFLint — линтер для терраформа, сильно ориентирован на AWS http://amp.gs/stg6 (одно время разработка не сильно двигалась, но с недавнего времени проект весьма живой)
* Terraboard — дашборд для визуализации стейта Terraform из S3 бакетов http://amp.gs/stE8
* terraform-docs — утилита для генерации документации из Terraform модулей http://amp.gs/stgb
Ну и конечно pre-commit-terraform от Anton Babenko 😉. Это отличный набор git хуков для различных операций, от форматирования и валидации до генерации документации. http://amp.gs/stga
#terraform #tools #github
Forwarded from Патчкорд
Обёртка для nmap - sandmap. Уже приготовленный
nmap
для разных задач, плюс интерактивный командный интерфейс, чтобы не помнить все 100500 опций и скриптов. Забирать с GitHub, там же есть помощь на Wiki.Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
On-Demand Container Scanning API
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker
Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.
Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/
#tools #docker
Forwarded from GitHub'ненько
A collection of power tools for the Linux/Unix/macOS command line https://altbox.dev/
#cli #tools
https://github.com/petdance/altbox
#cli #tools
https://github.com/petdance/altbox
altbox.dev
altbox.dev - A collection of power tools for the Linux/Unix/macOS command line
Every programmer should know the standard Unix tools, but there are plenty of tools that go beyond them.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
DefectDojo
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools
DefectDojo - open-source система управления уязвимостями. DefectDojo позволяет организовать программу безопасности внутри организации, поддерживать информацию о приложении, планировать сканы и публиковать найденные дефекты в тикетницу. Есть много интеграций (22+) как с open-source сканерами (ZAP, Trivy, nmap, Dependency Check), так и с enterprise (Veracode, Checkmarx, Twistlock)
#tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
IAST and hybrid analysis
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)
IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.
Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)
2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)
3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)
Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys
Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona
Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application
Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis
Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis
#iast #tools #sast #dast
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Docker-Slim
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может также автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools
Docker-slim - бесплатный инструмент, позволяющий оптимизировать размер образов Docker, используя различные методики анализа. В некоторых случаях размер образов может быть уменьшен в 30 раз. Говоря про безопасность, Docker-slim также может также автоматически сгенерировать AppArmor и Seccomp профили для выбранных образов.
Пример работы
DockerSlim Demo ( Docker Global Hack Day )
#docker #tools
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Validating Kubernetes YAML for best practice and policies
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s
В статье сравниваются шесть статических инструментов для проверки и оценки файлов YAML Kubernetes, а именно:
- Kubeval
- Kube-score
- Config-lint
- Copper
- Conftest
- Polaris
https://learnk8s.io/validating-kubernetes-yaml
#tools #sast #k8s