LeakLooker GUI — Discover, browse and monitor database/source code leaks.
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
SheftLeft Scan - A Free & Open Source DevSecOps Platform
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Finding secrets in repositories
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
GitLab Watchman
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
HuskyCI - open source tool that orchestrates security tests
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
Keep it secret. Keep it ... safe?
Что же будет, если эту политику выключить?
Спустя 6 минут после утечки происходит волна активности с IP-адресов в Нидерландах. Эти же IP-адреса связаны со спамом и узлами TOR. Почти сразу создаются экземпляры EC2. Очевидно, что это майнинг криптовалюты, а именно XMR (Monero).
Спустя 36 минут IP-адреса из Израиля используют секреты для доступа к S3. В это же время злоумышленник связывается с администратором требуя выкуп.
Итого 13 разных обращений к AWS в течение 24 часов и 4 злоумышленника выполнили действия, аналогичные описанным выше.
#secret
"It look just 6 minutes for the malicious actor to find the leaked credentials on GitHub and compromise our AWS account."
Любопытный эксперимент. Команда вендора Shhgit умышленно разместила ключи AWS в публичном репо GitHub. Первое, что происходит спустя 4 минуты - срабатывание политики AWSCompromisedKeyQuarantine, согласно которой скомпрометированные ключи отзываются с автоматическим уведомлением администратора. Что же будет, если эту политику выключить?
Спустя 6 минут после утечки происходит волна активности с IP-адресов в Нидерландах. Эти же IP-адреса связаны со спамом и узлами TOR. Почти сразу создаются экземпляры EC2. Очевидно, что это майнинг криптовалюты, а именно XMR (Monero).
Спустя 36 минут IP-адреса из Израиля используют секреты для доступа к S3. В это же время злоумышленник связывается с администратором требуя выкуп.
Итого 13 разных обращений к AWS в течение 24 часов и 4 злоумышленника выполнили действия, аналогичные описанным выше.
#secret
Rusty Hog - secret scanner in a Google doc, S3, Git, Confluence and Jira
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
GitHub
GitHub - newrelic/rusty-hog: A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com…
A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com/dxa4481/truffleHog) which is written in Python. - newrelic/rusty-hog
Revealing the secrets of Kubernetes secrets
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
OWASP WrongSecrets
12 тасков на компрометацию секретов. Здесь есть hardcoded passwords, использование секрета в ENV, ConfigMap, AWS Secrets Manager, Vault и инжект во время сборки. Для работы с платформой, соответственно, может понадобится k8s, облако (aws, gzp, azure в experimental), minikube, vault.
#dev #secret
12 тасков на компрометацию секретов. Здесь есть hardcoded passwords, использование секрета в ENV, ConfigMap, AWS Secrets Manager, Vault и инжект во время сборки. Для работы с платформой, соответственно, может понадобится k8s, облако (aws, gzp, azure в experimental), minikube, vault.
#dev #secret