1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
А чего язвить про него, вроде норм тул, у меня после написания рулов на пермисии наверное пару десятков айдоров сходу нашлось
Читать полностью…
Подскажи плз тогда я не смог найти)
Читать полностью…
А о каком экстеншене бурпа речь?
Читать полностью…
такого решения нету ни на рынке ни в опенсорсе, и зап и нукли не подходят особо, если у тебя 1000 ендпоинтов - удачи написать правила или наколхозить чтото в зап. Лучшее решение что пока работает без какихто танцев это искать их в статике, но тут зависит от кода. Семгрепом я мониторю все эндпоинты и их пермиссии(спасибо норм аннотациям). Но статика помогает только авторизацию на самих эндпоинтах чекать, если проверки пермиссий в мидлваре то уже нет. Тулы которая прошла бы по опенапи, взяла бы список юзаков и поняла где как пермиссии проверять нету, хотя в бурпе есть экстеншны который делает очень похожее и может быть его можно докрутить до автоматизации, но я пока не слышал чтобы ктото это наконец то уже сделал
Читать полностью…
полные можно гонять с низким приоритетом
Читать полностью…
В инкременте сканер ниче не поймет, а по итогу...
Читать полностью…
Типа вот есть у тебя инкремент (апдейт) ты его проверил - всё ок.
Добавил к базовой версии (накатил апдейт), а оно возьми и открой бэкдор без палева 👀
А более базированные бывают, которым помимо чексумм надо ещё собрать чтобы удовлетвориться 🤔
Читать полностью…
Базу же тоже я проверил, а себе я доверяю
Читать полностью…
Ты ж дельты дальше чекаешь только, а базу, которую когда-то проверили, согласен на веру принимать получается 🤔
Читать полностью…
А все, понял о чем речь. Да, если с точки зрения мапить уязвимости ска на саст то да, согласен, нужно глубже сканиться.
Читать полностью…
Не, я про саст. Ска то понятно
Читать полностью…
Может я что-то не так понимаю, условно, спулили с гитхаба версию 1 проверили, собрали, пользуем, захотели версию 1.1 - спулили, выделили дельту, проверили только дельту. Зачем всё перепроверять?
Читать полностью…
здесь на веру ничего не принимают
Читать полностью…
Так про то самое, почему другое. Один раз проверил условную кафку полностью, дальше только инкременталки пойдут.
Читать полностью…
Щащаща, мне просто сложно очень написать так, чтобы не съязвить про семгреп
Читать полностью…
Один Authz а второй название не помню, но в нем можно прям роли накидать, он там легко ищется
Читать полностью…
нукли будет норм только если дописывать по одному правилу на найденый баг, типа нашли айдор пофиксили дописали рул, но это какойто дроч конрктено в применении к айдорам
Читать полностью…
А майнить когда под видом сканов?
Ну, короче да, соглы 😅
Короче удобства ради, да 😐👀
Чтобы не мешать разработке и SLA. А вечером можно и полные сканы погонять.
Читать полностью…
По частям можно внести любого слона
Читать полностью…
Инкрементал сканы - это прежде всего инструмент для изучения кода (упрощения анализа), но почему-то в безопасной разработке в практику вошло использовать инкрементальное сканирование вместо обычного
Читать полностью…
Надо свериться что база - базовая, не изменилась, по чек сумме хотя бы
Читать полностью…
Где гарантии что тот исходный код который не изменился - не изменился? В концепции существовании этого мира, для меня по крайней мере)
Читать полностью…
А где гарантии что то же самое?
Читать полностью…
И я, но я сонный)) встал сегодня непривычно рано )) для меня это еще Source Code Analysis))
Читать полностью…
Рулы в SAST - череда зависимостей, что-то в старом коде 1.0 может стать причиной находки после изменений в 1.1
Читать полностью…
база обновилась - надо прогонять полный скан
Читать полностью…
потому что тебе все равно надо знать из чего она собирается и заверять это каким-то эцп
Читать полностью…
тогда остается в зоне риска только твое приложение и его зависимости. А отказываясь от ubuntu/centos в качестве базового образа в пользу scratch или хотя бы билдпакс - ты сужаешь проблему до node modules, библиотек джава и прочих штук на стороне разработки
Читать полностью…