Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей

Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» . Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и устранение уязвимостей в программном обеспечении и инфраструктуре. Зачастую крупные организации используют сразу несколько коммерческих сканеров. Но что делать небольшим компаниям или стартапам, у которых нет бюджета на дорогостоящие инструменты информационной безопасности? К счастью, на помощь кибербезу приходит Open Source. В статье приведу примеры конкретных Open Source инструментов, а также расскажу, для решения каких задач они подходят.

https://habr.com/ru/companies/garda/articles/978582/

#owasp_zap #Nikto #Nuclei #Wazuh #Nmap #поиск_уязвимостей #сканер_уязвимостей #open_source #сканер

OWASP BWAで学ぶ、脆弱性検証体験
https://qiita.com/Inlet-back/items/f2b0db417e0dffbd9211?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Security #OWASP_ZAP #owasp #OWASP_BWA

OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений

В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на ранних этапах и помогают предотвращать потенциальные атаки. Одним из наиболее распространенных инструментов для обучения и практического тестирования защищённости веб-приложений является OWASP ZAP (Zed Attack Proxy). Этот бесплатный и открытый сканер безопасности широко применяется как профессионалами, так и начинающими специалистами для поиска уязвимостей в веб-приложениях. Освоение работы с OWASP ZAP рекомендуется не только инженерам по информационной безопасности, но и разработчикам, DevOps-специалистам и тестировщикам, заинтересованным в создании по-настоящему безопасных сервисов. В Security Vision мы поддерживаем безопасность в том числе и данным инструментом, а также используем для сравнения результатов сканирования в режиме pentest наших скриптов по OWASP top 10. В данной работе рассматривается практический подход к использованию OWASP ZAP для аудита безопасности веб-приложений. Материал предназначен для студентов, разработчиков и всех, кто хочет освоить современные инструменты безопасной разработки.

https://habr.com/ru/companies/securityvison/articles/950398/

#ssdlc #zap #owasp_zap

Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 3

Всех приветствую, читатели Хабра! Сегодня третья часть анализа защищенности веб-приложений Vulnhub. Ссылки на первую https://habr.com/ru/articles/894508/ и на вторую https://habr.com/ru/articles/895092/ части. Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за ваши действия. Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял: УК РФ Статья 272. Неправомерный доступ к компьютерной информации УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны. И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением. В этой статье будет снова анализ защищенности веб-приложений на докер. Ссылка на доке-образы и описание как поднимать эти машины на докер. Рекомендую ознакомиться. Алгоритм атаки будет прежний, за исключением энумерации, в этих примерах ее не будет:

https://habr.com/ru/articles/895856/

#информационная_безопасность #пентестинг #nmap #dockercompose #сетевые_технологии #burpsuite #cve #vulnhub #уязвимости #owasp_zap

Что помогает разработчику писать безопасный код: обзор инструментов

Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода. Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения. Читать

https://habr.com/ru/companies/pt/articles/891400/

#безопасная_разработка #appsec #devsecops #sonarlint #semgrep #gitleaks #gitsecret #trivy #secret_scanner #owasp_zap

Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов

Привет! На связи Олег Казаков из Spectr . В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps

https://habr.com/ru/companies/spectr/articles/836004/

#devsecops #devsecops_services #dast #owasp_zap #owasp