1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Спасибо за подробный ответ
Читать полностью…
От ддос бифит митигатор норм, но там компетенции нужны, т.к. в полуручном режиме его крутишь (по первому времени анализа своего легитимного трафика).
Читать полностью…
Короче CDN - вот что получается против ДДОС🤷🏿♂
Читать полностью…
Ну клаудфейр защитит от ддоса если указать проксирование всего трафика
А что за куратор?
встают за клаудфлерь и куратор
Читать полностью…
Поиск разработчика, фулстек/бэкенд на Джаве
На фултайм
кому-то наверно сейчас обидно было))))
Читать полностью…
Выше же скинул готовое решение. Всё что нужно - описать условия проверок для заданных точек (там даже примеры наглядные приведены)
Читать полностью…
Нафаззить можно, но тула которая бы поняла все едпоинты и прошлась разными ролями и тенантами по ним - я не нашел
Читать полностью…
серьезные ребята! BBVA!
Читать полностью…
В большинстве случаев это забыли добавить нужную проверку
Читать полностью…
Ну, в общем да. Всем рекомендую апичек использовать для этих целей (а то так и будут же састом ошибки логики искать)
Читать полностью…
https://bbva.github.io/apicheck/tools/apicheck/sensitive-data
Читать полностью…
Есть и лучше но не бесплатно)
Читать полностью…
1. DDoS достаточно обширная область от залива канала твоего сервера L3/L4 (IP/TCP,UDP) трафиком, через F5 (обновление) страницы с тяжелым SQL запросом, до хитрых динамических запросов которые не может осилить бэк.
При этом CF всеравно может по открытом инету ходить до твоей IP-ки, и кто-то "случайно" может в нее залить.
2. дальше уязвимости приложений
2.1 Сам nginx достаточно пустое место для уязвимостей, большинство идет из конфигов, то прокси буфера, то дирлистинг (ОМГ!!!). то гит дира не закрыта (а что она вообще на проде делает???)
2.2 сам бекенд - тут надо понимать, что это исключительно твой код и приложения аудита (как SAST так и WAF) захотят всяких паттернов, которые валидны и предложат свои варианты невалидных сценариев, которые на самом деле тебе могут навредить, сделать часть сайта недоступным. Это твоя инфраструктура, которая должна иметь запас на административные действия понять, что упало или было сломано и из-за чего
Не защитит. Немного смягчит
Читать полностью…
все равно дома лучше не сделаешь
Читать полностью…
Добрый день коллеги!
У кого есть свободное время подскажите чем вы защищаете свои сайты веб сервера
у меня возник вопрос как защищают продовские сайты на nginx от ддос аттак и остальных угроз
Есть ли какой то универсальный конфиг на все случаи жизни?
@RudovaAnna1: user has been CAS banned
Читать полностью…
хмм... Джун чем не мл-аутсорс?
Читать полностью…
Во
Фаззинг
Парни, подсказка нужна, а есть кто юзает фаззинг на аутсорс либо какой-то ML-фаззмнг услугами?
Может я не верно воспринял изначальный вопрос, там были примеры про айдоры, у меня это как раз горячая тема, и я ответил конкретно про автоматизацию проверок на айдоры(ну и пермиссии заодно)
Читать полностью…
Мы точно говорим об одном и том же? Я не очень понял как эта штука помогает проверять авторизацию наендпоинтах
Читать полностью…
Ошибки логики не всегда связаны с проверкой пермиссий
Читать полностью…
https://github.com/arainho/awesome-api-security?tab=readme-ov-file#tools
Читать полностью…
Так, ладно. Вроде отпустило. Не буду ничего советовать, вижу что с опытом
Читать полностью…
Да и в целом вроде ок
Читать полностью…