⭕️ RADAR: How DevSecOps is Revolutionizing Security at Snapp
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@securation
در این مقاله یکی از AppSec Engineer های Snapp به بررسی جزئیات DevSecOps توی اسنپ پرداخته.
به طور خیلی خلاصه فریمورک رادار اسنپ که ترکیب Security Testing در CI/CD هست شامل ابزار های زیر میشه:
1. SAST: semgrep
2. SCA, SBOM: Grype, Syft
3. Secret Detection: Gitleaks
4. IaC: KICS
5. Container Scanning: Trivy
6. DAST: ZAP
7. Vulnerability Management: DefectDojo, OWASP Dependency-Track
مقاله:
https://medium.com/@mohammadkamrani7/radar-how-devsecops-is-revolutionizing-security-at-snapp-5f496fd08e79
#DevSecOps #AppSec #DAST #SAST
@securation
👍12🔥2❤1
⭕️Red team: Journey from RCE to have total control of Cloud Infrastructure
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@securation
۱. ابتدا محقق با کشف یک RCE در وب اپ به docker container دسترسی گرفته
۲. سپس متوجه شده که در محیط restrict قرار داره و فقط microdnf نصب هست
۳. محقق متوجه میشه که به subnet های دیگه درون شبکه از طریق container دسترسی داره و از این طریق ip یه gitlab instance رو پیدا میکنه
۴. و بعد متوجه میشه که این instance به CVE-2021-22205 آسیب پذیر هست
۵. بعدش از طریق این CVE به Gitlab و دیتابیس اون دسترسی میگیره و بعد از طریق دسترسی admin استفاده میکنه تا یدونه ریپازیتوری و CI/CD pipeline بسازه برای pivot به Gitlab worker instance
۶. و در Gitlab worker node تونسته تعداد زیادی secret و API KEY و ... و همچنین kubeconfig فایل رو پیدا کنه
برای جزيیات بیشتر مقاله زیر رو بخونید
https://mr-r3bot.github.io/red/team/2023/05/22/From-RCE-to-owning-entire-cloud-infrastructure.html
#RedTeam #RCE #Pivot #DevSecOps
@securation
Quang Vo
Red team: Journey from RCE to have total control of cloud infrastructure
Journey from gaining RCE in a container to Cluster Admin and have completely control of company’s cloud infrastructure
👍11🔥2🎉2
⭕️سرویس Docker Hardened Images (DHI) ، شامل Base Imageهای ایمنسازیشده (Hardened) و مینیمال است که با هدف کاهش آسیبپذیریها (CVEs) توسعه یافتهاند.
محصولات DHI با ارائه SBOM (لیست مواد نرمافزاری) شفاف و قابل تأیید و همچنین Provenance در سطح SLSA Level 3، امنیت Software Supply Chain را تضمین میکنند.
مهاجرت به این Image ها بسیار ساده (Drop-in) است و نیاز به تغییر Workflow شما ندارد.
اگر در کوبرنتیز ، CI CD یا پروداکت های خودتون با Docker کار میکنید بنظرم وقتشه نگاهی به Hardened Images بندازید.
با کمک این سرویس دیگه تیم DevSecOps تحول بسیار جدیدی در سازمان شما ایجاد میکند.
https://www.docker.com/products/hardened-images/
#Docker #DevSecOps #CVE
@securation
محصولات DHI با ارائه SBOM (لیست مواد نرمافزاری) شفاف و قابل تأیید و همچنین Provenance در سطح SLSA Level 3، امنیت Software Supply Chain را تضمین میکنند.
مهاجرت به این Image ها بسیار ساده (Drop-in) است و نیاز به تغییر Workflow شما ندارد.
اگر در کوبرنتیز ، CI CD یا پروداکت های خودتون با Docker کار میکنید بنظرم وقتشه نگاهی به Hardened Images بندازید.
با کمک این سرویس دیگه تیم DevSecOps تحول بسیار جدیدی در سازمان شما ایجاد میکند.
https://www.docker.com/products/hardened-images/
#Docker #DevSecOps #CVE
@securation
👍9❤2👎2