🎁 Dev(Sec)Ops RoadMap как найти работу
#карьера #devsecops

В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?

Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.

Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:

А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?

▶️ Если нет, то возвращаемся к пункту 1, за красной таблеткой. Если же вы выбурили синюю таблетку, то вот мой ответ на вопрос: "Что нужно знать DevOps инженеру?"
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Sward, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix пора отправить на покой ]
Логгирование: ELK

Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)

▶️ Возвращаясь к теме поста, что нужно учить DevSecOps? Всё то, что знает DevOps и:
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Михаила из Avito Tech, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair

⭐️ Как-то так. На самом деле список тулз у DevSecOps постоянно пополняются. И тем более приходится писать что-то под свои задачи. Надеюсь было полезно. Но DevSecOps

Также отдельное спасибо @belka_e

Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!

Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.

❤️ @poxek

🗂 #заметки #web #offense

➡️Rather old, but gold информация, которая до сих пор пригождается при анализе защищённости веб-приложений;


   🧩  BlackFan/content-type-research

Манипуляция Content-Type для эксплуатации некорректного парсинга и, следовательно, для обхода WAF, внедрения полезной нагрузки для XSS и проведения CSRF;

Базовый пример идеи из репозитория:

Content-Type: application/x-www-form-urlencoded
Body: q=' union select '1

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App:  ' union select 1'
➡️ WAF: ' union select 1'

Content-Type: application/x-www-form-urlencoded;/json
Body: {"q":"' \u0075nion \u0073elect '1"}

➡️ App: ' union select 1'
➡️ WAF: {"q":"' \u0075nion \u0073elect '1"}

💻 BlackFan/content-type-research/ct-tricks – подобные трюки в зависимости от особенностей конкретной технологии;

💻 BlackFan/content-type-research/XSS – примеры Content-Type, которые могут быть использованы для внедрения полезной нагрузки для эксплуатации XSS;

💻 BlackFan/content-type-research/Browsers – примеры Content-Type, которые могут быть использованы для cross-origin запросов в зависимости от браузера;


   🧩  BlackFan/client-side-prototype-pollution

💻 BlackFan/client-side-prototype-pollution/pp – перечень технологий, уязвимых к Prototype Pollution, с указанием CVE, уязвимого фрагмента кода и PoC;

💻 BlackFan/client-side-prototype-pollution/gadgets – перечень гаджетов для списка технологий с указанием JS фингерпринта, уязвимого фрагмента кода и PoC;

//  Подобное от PortSwigger: XSS/Cheat-Sheet#Prototype Pollution

   @HaHacking  🐇