Size: a a a

DevSecOps - русскоговорящее сообщество

2020 February 20

GG

George Gaál in DevSecOps - русскоговорящее сообщество
не надо про WAF
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Почему?
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
у нас неправильной настройкой WAF сломали продуктив недавно
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
Если вы о кодерах, то их косяки waf подчищает
Чувак... прекрати меня ща выгонят из опенспэйсика за ржач
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
потому что WAF не панацея, а нормальных тестов на его правила никто не пишет
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
импакт никто не понимает
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Это случается, но с ним спокойней
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
спокойнее в гробу
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
потому что WAF не панацея, а нормальных тестов на его правила никто не пишет
Панацей в ИБ нет
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
спокойнее в гробу
Пока ещё не там:))
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
WAF Bypass на каждом CTF-е с толпой победителей
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
в остальном - вся жизнь - один сплошной стресс
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
buggy c0d3r
WAF Bypass на каждом CTF-е с толпой победителей
Да, и это возможно, но есть и другие контроли, защита из слоёв строится:)
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Каждый контроль можно обойти, дело времени и усилий
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Мне всё-таки хотелось про связку двух гитов мнение послушать:))
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
George Gaál
админ по памяти пишет шеллкод в машинных кодах и вставляет его в командную строку доверенной рабочей станции
К счастью, не все  такие продвинутые и с плохими мотивами:)
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Petr Rozhkovskiy
Мне всё-таки хотелось про связку двух гитов мнение послушать:))
короче, если у вас - нет особых требований - проще один
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
если Вы - Сбер или ВТБ, то у Вас все и так хорошо и такой вопрос тут не возник бы
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Твой разраб или малварь на его компе закидывают в репу шифрованный блоб, который благополучно переезжает из твоего "недоверенного" гита в твой "довренный" и деплоится на прод. Вот и скажи, какой ты слой безопасности кроме имитации построил?
источник

PR

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество
Передергиваете :))
источник