1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Заюзать ещё не протухший токен с данными которые изменились:)
Читать полностью…
В JWT нельзя вообще конфиденциальные данные передавать, данные должны быть анонимизированы. Ты передаёшь не имя пользователя, а его uuid, для корреляции с БД
Читать полностью…
Как минимум - владелец токена и запись в бд - могут быть разными
Читать полностью…
Имя пользователя или группа - насрать скорее всего
Читать полностью…
А можешь пожалуйста раскрыть, что ты подразумеваешь под «шифровать открытую часть токена»? Ты имеешь ввиду HMAC?
Читать полностью…
Или это для ситуации, когда зачем-то где-то софт логирует запросы со всеми хедерами? Но, тогда дело в архитектуре этого безобразия, а не в jwt токене. Или нет?
Читать полностью…
можно еще закрутить на post_build_script и там делать эту проверку)
Читать полностью…
с этим надо быть аккуратным, exit 1 не достаточно. /channel/naryl_sec/54
Читать полностью…
но овнеров этих писать могут в целом мейнтейнеры проектов, а это считай тоже следить за файлом этим,что пустое занятие
Читать полностью…
Ну погоди, я про кодовнерс ворклоу) Ты сейчас про автомердж версий зависимостей для исправления SCA Security Issues'ов
Читать полностью…
Ну короче, если постараться, можно через такого бота этот процесс реализовать) Никто не говорил, что OSS путь лёгок
Читать полностью…
Кстати, вообще это можно реализовать через агентов/ботов разных)
https://gitlab.com/marge-org/marge-bot
На бесплатном это просто декорация
Читать полностью…
Что насчет codeowner'ов? И систему апрувов
Читать полностью…
Гитлаб отдает вебхук в лямбду в формате CE о изменениях файлов. В лямбде уже хэндлишь
Читать полностью…
Там еще инфа в токене может чуть помогать атакующему понять внутреннюю кухню приложения, например как устроены внутренние идентификаторы, какие имена полей в БД и т.д. . Это может помочь в поиске каких нибудь IDOR или еще чего нибудь. Супер маленький импакт, конечно.
Вообще есть paseto токены с шифрованием сразу.
Ну вообще, очень странные рекомендации...
Я не знаю RFC'шки на зубок, которые относятся к JWT токенам.
Могу лишь поделиться своим мнением. JWT в моем понимании всегда должен считаться прозрачным.
По нему строится телеметрия на прокси сервисах очень часто. И держать приватный ключ для расшифрования «конфиденциальных данных», на каждом таком узле - как минимум неперфомантивно
Мне кажется, что твой случай - это хот патч, который придумали пентестеры, которые плохо понимали архитектуру продукта и то, как устроены веб сервисы. И у которых было недостаточно знаний в систем дизайне скорее всего.
Либо, после предложения нормального решения, разработчики дали блок из-за недостатков архитектуры ПО. Поэтому было дешевле в моменте шифровать данные)
А чем плохо? Кто, кроме владельца, может получить к ним доступ? Сам сервер, который обрабатывает запрос клиента? А если сервису нужно отображать ФИО клиента - есть ли разница откуда он его получил: из jwt или из БД?
Читать полностью…
Нет. Допустим, в токене указаны персональные данные его владельца - в открытом виде. И есть рекомендация эти данные шифровать (в нескольких закрытых отчётах разных пентестеров встречал)
Читать полностью…
Мне кажется хороший вопрос.
Читать полностью…
Коллеги, добрый день. Вопрос насчёт шифрования открытых данных, передаваемых в jwt. Периодически сталкиваюсь с такой рекомендацией. Но, не понимаю её сути: если злоумышленник получит доступ к jwt, срок которого не протух - там проблемы будут посерьёзнее, чем раскрытие незашифрованный данных открытой части токена. В чём смысл тогда шифровать открытую часть токена?
Читать полностью…
да, про это тоже знаю) через after_script можно что-то провернуть. но в данном случае будет не валидно, если зафейлится джоба, то нельзя будет сделать мерж при правильных настройках
Читать полностью…
Можно заюзать prebuild job на раннере и смотреть diff .gitlab-ci от main ветки и exit 1, если есть отличия
Читать полностью…
Я просто к примеру привел. Что суть внедрение бота.
А кодовернерсы тоже хлипкая тема, ведь она по сути вещей не дает согласовать изменение в файле без апрува или самих действий от овнера прописанного к файлу
С ботом реально близко. По тому же принципу идёт скан у renovate bot. У себя запускает в проекте пайплайн идущий по всем проектам и сканящий пакетные Лок файлы и выдает потом МРы на обновление пакетов. Немного другое, но смысл тот же, в централизации
Читать полностью…
Я вот пытаюсь вспомнить, название того самого бота... Он более популярный, чем Марж
Читать полностью…
походу понял, если указать файл ci в настройках, то локальный будет игнориться
Читать полностью…
Они только закрывают изменение и только на платном гитлабе
Читать полностью…
.dockerignore или есть ещё способы?
Читать полностью…
получается все равно не централизовано, ко всем ходить надо
Читать полностью…