Архив метки: SafeCode

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений

Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hanging fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.

Были использованы утилиты:

🔻 WayBackTools - парсинг веб-кэша
🔻 httpx - проверка доступа
🔻 xurlfind3r - получение данных веб-кэша
🔻 BurpSuite - платформа для пентестинга веб-приложений
🔻 GAP - Burp app для получения параметров и ссылок из JS
🔻 Nuclei - сканер уязвимостей
🔻 Katana - веб-краулер

Что я планирую на второй день SafeCode

Что я планирую на второй день SafeCode

Что я планирую на второй день SafeCode.

🔹 Досмотреть 2 доклада, которые я в первый день не успел посмотреть: про рекон и уязвимости мобильных приложений.
🔹 Посмотреть 2 доклада, которые изначально намечал: про архивы уязвимостей и про своё решение для безопасности контейнерных сред.
🔹 Посмотреть, что новенького в сканилке образов Яндекса и панельку с Андреем Масаловичем. 🙂

Планирую просмотренное также описывать в постах, но скорее растяну это на несколько дней, а то и недель. Доклады на конфах это хорошо, но уж больно много всего происходит сейчас по части критичных уязвимостей. 😇

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект

Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект.

❓SCA и Supply Chain - в чём разница?

🔹 Software Composition Analysis (SCA) - выявление и исправление известных уязвимостей (CVE)
🔹 Supply Chain - текущих проблем нет, но в будущем с кодом могут быть проблемы

📔 Стандарты

🔸 SLSA (Supply-chain Levels for Software Artifacts). 4 уровня. В основном про билды. 🫤
🔸 OWASP SCVS (Software Component Verification Standard). 6 кратких контролей. 😒
🔸 CIS SSCSG (Software Supply Chain Security Guide). 100 рекомендаций в 5 категориях. 👍

😡 Техники злодеев

🔻 Хактивизм и создание токсичных репозиториев
🔻 Starjacking
🔻 Typosquatting
🔻 Dependency Confusion
🔻 Become Maintainer

📊 Метрики для оценки опенсурсных проектов

➕ Популярность
➕ Авторский состав
➕ Активность сообщества
➕ Заинтересованность в безопасности (есть )
➖ Библиотека создана недавно
➖ Первая версия подозрительно высокая

Наверняка старая шутка, но я раньше не слышал

Наверняка старая шутка, но я раньше не слышал

Наверняка старая шутка, но я раньше не слышал. Единственный безопасник в организации как агент 007:
🔸 0 сотрудников,
🔸 0 бюджета на инструменты безопасности,
🔸 7 инцидентов в неделю.

Алексей Федулаев на SafeCode сегодня рассказал. 🙂
Жиза. 😅

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии Как устроена безопасность в технологически зрелой компании? на SafeCode

Антон Жаболенко (CISO Wildberries) рассказывает про комплексный Continuous Vulnerability Management в сессии "Как устроена безопасность в технологически зрелой компании?" на SafeCode.

Процесс включает в себя:

🔸 различные сканирования уязвимостей (как из Интернета, так и из внутренней сети)
🔸 внутренний RedTeam
🔸 пентесты (внешние подрядчики)
🔸 RedTeam (внешние подрядчики)
🔸 внутренние аудиты
🔸 публичное bug bounty

Это источники, которые генерят поток продетектированных проблем компании, чтобы Defense команда могла итеративно и циклично эти проблемы исправлять.

Такой подход применяется преимущественно в технологически зрелых компаниях, потому что он

🔻 дорогой
🔻 сложный
🔻 тяжело найти экспертов для выстраивания

Но только таким образом можно смотреть комплексно на проблемы, которые есть в компании с точки зрения ИБ.

Если использовать одну команду исследователей (подрядчиков или in-house), у неё неизбежно будет "замыливаться глаз".

Интересный доклад Андрея Карпова "Ошибки в коде: ожидания и реальность" на SafeCode

Интересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCodeИнтересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCodeИнтересный доклад Андрея Карпова Ошибки в коде: ожидания и реальность на SafeCode

Интересный доклад Андрея Карпова "Ошибки в коде: ожидания и реальность" на SafeCode. Идея в том, что у разработчика средства анализа кода (или исследователя) могут быть ожидания по типам ошибок, которые должны часто встречаться в исследуемом коде. А на практике получается, что одни типы ошибок практически не встречаются (неинициализированные переменные, деление на ноль, выход за границу массива, присвоения вместо сравнения), либо встречаются, но практически не влияют на работу приложений (нулевые ссылки и указатели).

С другой стороны, встречаются пласты ошибок, о которых и не думали:

🔸 CWE-14 (исчезновение memset)
🔸 Повторная запись в переменную
🔸 Проверка указателя после new
🔸 Опечатки вида (А == A)

Лучше не увлекаться ошибками, которые взяты из книг, а брать их из реальной жизни (свой код, сторонний код, код с ошибками, присланный пользователями анализатора).
Важно не фокусироваться на анализе потока данных и не делать инструмент анализа однобоким.

Через 20 минут начинается SafeCode 2024

Через 20 минут начинается SafeCode 2024
Через 20 минут начинается SafeCode 2024

Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.