В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

298 membersпожаловаться на группу
2019 February 02

NT

Nikita Tikhomirov in DevSecOps - русскоговорящее сообщество
https://github.com/yandex/gixy/
https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf
https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
https://www.nginx.com/blog/build-application-security-shield-with-nginx-wallarm
https://www.owasp.org/index.php/SCG_WS_nginx
https://habr.com/ru/post/100961/
источник
00:11пожаловаться#1

NT

Nikita Tikhomirov in DevSecOps - русскоговорящее сообщество
Вот что я нашел по nginx у себя
источник
00:12пожаловаться#2

NT

Nikita Tikhomirov in DevSecOps - русскоговорящее сообщество
Если у кого есть чего интересное, то скидывайте сюды
источник
00:12пожаловаться#3

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
А что может конкретно интересует?
источник
00:33пожаловаться#4

V

Vit in DevSecOps - русскоговорящее сообщество
Maxim Maximov
А что может конкретно интересует?
Способы обхода location с deny, разница в прокси при разных http-version, нормальзованные/сырые запросы, регулярки/спецсимволы для смены штатного поведения, открытые редиректы...в общем все, что направлено на то, чтобы изменить поведение балансеры от простого и понятного, как ожидает типичный админ)
источник
01:14пожаловаться#5

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
вот тут недавно закидывали https://nginxconfig.io/
nginxconfig.io
NGiИX configuration generator: HTTPS, HTTP2, CDN, PHP, HHVM, Frontend, Reverse proxy, Node.js, WordPress, Drupal, Magento, Python, Django, security headers, rate limiting, expiration by file types…
источник
01:27пожаловаться#6

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
😁
источник
01:27пожаловаться#7

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
не в тему но все же)
источник
01:28пожаловаться#8

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
если честно сложный какой то вопрос - например не делать сложных конфигураций и не будет секурити проблем - а так то наверное можно выдумать такую которая будет дырявой
источник
01:29пожаловаться#9

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
я бы послушал такой тренинг) - учитывая что как говорят nginx весь состоит из ошибок новичков - наверняка есть какие то ошибки не новичков о которых не задумываешься 😃 но кроме нечеткого пониманию документации чего то в голову ничего не пришло
источник
01:32пожаловаться#10

k

kyprizel in DevSecOps - русскоговорящее сообщество
http://blog.volema.com/nginx-insecurities.html
пост пятилетней давности
Volema
Blog.Volema / Some cases of insecure NGINX configurations
источник
01:33пожаловаться#11

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Vit
Способы обхода location с deny, разница в прокси при разных http-version, нормальзованные/сырые запросы, регулярки/спецсимволы для смены штатного поведения, открытые редиректы...в общем все, что направлено на то, чтобы изменить поведение балансеры от простого и понятного, как ожидает типичный админ)
Ну в основном всегда либо неверная обработка ввода, либо мисконфиг. Про обработку ввода парни уже накидал, про мисконфиг в целом тоже)
Так что большую часть охватили.
Мисконфиг имею ввиду отсутствие реврайта x-forwarded-for к примеру
источник
09:04пожаловаться#12

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Который также forwarded: for=127.0.0.1; host=..
источник
09:04пожаловаться#13

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Я лично тока недавно про это узнал и стопроц если есть реврайт x-forwarded-for, то можно попробовать добавить forwarded и посмотреть, как поведет себя балансер
источник
09:05пожаловаться#14

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Обе схемки по rfc 7239
источник
09:06пожаловаться#15

V

Vit in DevSecOps - русскоговорящее сообщество
Maxim Maximov
Ну в основном всегда либо неверная обработка ввода, либо мисконфиг. Про обработку ввода парни уже накидал, про мисконфиг в целом тоже)
Так что большую часть охватили.
Мисконфиг имею ввиду отсутствие реврайта x-forwarded-for к примеру
Про мисконфиг интересно как раз почитать больше, по ссылкам вроде не так много.
Про реврайт вот тоже там и нет, и не понял что именно ты имеешь ввиду))
источник
11:30пожаловаться#16

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Охох
Встречал обходы ip фильтров?
источник
11:41пожаловаться#17

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Когда добавляется x-forwarded-for: 127.0.0.1
источник
11:41пожаловаться#18

V

Vit in DevSecOps - русскоговорящее сообщество
Maxim Maximov
Охох
Встречал обходы ip фильтров?
Да вот..не доводилось пока, ни почитать, ни услышать ни от кого в красках, чтобы попробовать)
источник
11:52пожаловаться#19

c

cyber in DevSecOps - русскоговорящее сообщество
Vit
Да вот..не доводилось пока, ни почитать, ни услышать ни от кого в красках, чтобы попробовать)
Напомни мне в пн
источник
12:25пожаловаться#20