DevSecOps Wine

2021-10-22 09:12:32 10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time

Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.

Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs

А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.

#dev Открыть/Комментировать

2021-10-21 09:11:42 RBAC Tool For Kubernetes

RBAC-tool - инструмент от Alcide (которую недавно приобрела широкоизвестная Rapid7), позволяющий формировать RBAC-роли в Kubernetes по результатам анализа audit events (в основу был взят движок audit2rbac), строить карту ролей и выявлять небезопасные роли.

#k8s #ops Открыть/Комментировать

2021-10-18 09:27:21 Introducing Snowcat: World’s First Dedicated Security Scanner for Istio

Snowcat - инструмент для аудита конфигурации Istio на предмет безопасности. В основу взята официальная страница Istio Security Best Practices. На текущий момент инструмент поддерживает:
- проверку наличия mTLS,
- поиск небезопасных паттернов политики авторизации (доступность эндпоинтов без авторизации),
- проверку контроля сертификата при egress-трафике
- проверку политики JWT-токенов ( first-party-jwt / third-party-jwt) для корректного контроля получателя
- поиск небезопасных версий Istio

Для поиска мисконфигураций инструмент может быть натравлен на yaml-файлы в качестве статического анализатора кода, XDS-порт, kubelet API или Istiod debug API без аутентификации. Подробнее об инструменте можно прочитать в блоге.

#ops #k8s Открыть/Комментировать

2021-10-14 09:41:33 Implementation of DevSecOps for a Microservices-based Application with Service Mesh - SP 800-204C (Draft)

Сначала в эту историю влетели NSA и CISA, а теперь время пришло и для NIST. Вышел драфт документа SP 800-204C "Implementation of DevSecOps for a Microservices-based Application with Service Mesh" о внедрении DevSecOps в связке с Kubernetes.

#k8s #ops #dev Открыть/Комментировать

2021-10-14 09:41:29 Открыть/Комментировать

2021-10-13 10:14:56 Kubernetes Security Checklist and Requirements

В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements

Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!

Кстати, есть также версия на русском.

#k8s #ops Открыть/Комментировать

2021-10-12 09:17:40 Дыры и заборы: безопасность
в Kubernetes

13 октября в 19:00 Мск знакомые проводят вебинар «Дыры и заборы: безопасность в Kubernetes». Речь пойдет про культуру безопасности в Kubernetes, взломы, которые уже попали в категорию "классика" (Tesla 2018, TeamTNT 2020) и атаки, сопровождающиеся майнингом и отключением кластера.

У вас также есть возможность задать вопросы экспертам и поделиться историями атак на ваши кластеры.

#talks Открыть/Комментировать

2021-10-11 15:27:46 How to find client-side prototype pollution at scale

Загрязнение прототипа (prototype pollution) - уязвимость, вызванная особенностями JS, позволяющая реализовать XSS и даже RCE. Подробное описание уязвимости было приведено ребятами из Huawei. Сегодня мне хотелось бы поделиться статьей о том, как эту уязвимость искали - "A tale of making internet pollution free"- Exploiting Client-Side Prototype Pollution in the wild". Благодаря selenuim, собственному расширению для браузера и запросу codeql ресерчеры нашли 18 уязвимых библиотек и зарепортили около 80 багов.

Кстати в стандартном паке codeql также есть кое-какие правила для поиска prototype pollution в собственных исходниках.

#dev #sast Открыть/Комментировать

2021-10-05 11:56:58 Anatomy of a Cloud Infrastructure Attack via a Pull Request

В продолжение темы с извлечением секретов из сборки [1,2] нашел свежую статью от Teleport (разработчики одноименного решения для контроля привилегированных пользователей) с разбором этой атаки в их инфраструктуре. Они, в частности, используют Drone CI в связке с dind. В статье разбирается специфика этой уязвимости у них и приводится небольшой чек-лист, как они митигируют соответствующие риски.

#ops #attack Открыть/Комментировать

2021-10-04 12:49:51 Company wide SAST

Ребята из Яндекса выложили последний недостающий доклад с ZN (+слайды), где они рассказали о том, как строили SAST. В первой части речь пойдет про разработанный внутри оркестратор SAST'а и правила для Semgrep. Во второй части будет затронута тема CodeQL: его плюсы/минусы, опыт проведения пилота и написания правил. Есть также ссылка на репозиторий с полезными запросами для улучшения taint-анализа.

#dev #sast Открыть/Комментировать