OSV от Google это не только база уязвимостей, но и сканер к ней - OSV-Scanner

Может сканировать директории с проектом, SBOM (SPDX и CycloneDX), Lockfile, Docker-образы и имеет интеграцию в виде Github Action. Есть и Remediation Tools, но это пока что экспериментальный функционал.

Установить OSV‑Scanner можно из репозиториев (применимо для Arch, Windows, macOS, netBSD) или собрать из исходников:

go install github.com/google/osv\-scanner/cmd/osv\-scanner@v

Сканирование директории

osv\-scanner \-r path/to/your/project osv\-scanner \-\-recursive path/to/your/project

osv-scanner найдет lockfile, SBOM и git-каталоги в целевом каталоге для определения зависимостей, чтобы проверить их по базе OSV на наличие известных уязвимостей.

Каталоги git ищутся по хэшу последнего коммита. Поиск по хэшу коммита git предназначен для работы с проектами, использующими подмодули git или аналогичный механизм, в котором зависимости проверяются как настоящие git-репозитории.

Сканирование SBOM

osv\-scanner \-\-sbom=cycloned\-or\-spdx\-sbom.json

Сканирование Lockfile

osv\-scanner \-\-lockfile=package\-lock.json

Сканирование образов Docker

osv\-scanner \-\-docker vulnerables/web\-dvwa osv\-scanner \-\-docker vulnerables/web\-dvwa \-\-format json

Сканирование образов docker ограничено только Debian based, а так же не сканирует файловую систему контейнера. Есть issue от 2022 года, но всё ещё висит.

Remediation Tools
Функционал Remediation Tools есть в двух форматах: interactive и non-interactive.

Guided Remediation (interactive)

osv\-scanner fix \-M path/to/package.json \-L path/to/package\-lock.json

Guided Remediation (non-interactive)

osv\-scanner fix \-\-non\-interactive \-\-strategy=in\-place \-L path/to/package\-lock.json osv\-scanner fix \-\-non\-interactive \-\-strategy=relock \-M path/to/package.json \-L path/to/package\-lock.json

osv-scanner хоть и имеет большой объем функционала в экспериментальном статусе, работает довольно быстро. Некоторые ограничения, например сканирование Docker образов можно компенсировать каким-нибудь генератором SBOM (например Syft). У него нет универсальности других сканеров, вроде Trivy, но если есть задача сканировать только на наличие уявзимостей, то osv-scanner хороший вариант.

Репозиторий: github.com/google/osv-scanner
Документация: google.github.io/osv-scanner

GitHub

GitHub - google/osv-scanner: Vulnerability scanner written in Go which uses the data provided by https://osv.dev

Vulnerability scanner written in Go which uses the data provided by https://osv.dev - google/osv-scanner

KICS stands for Keeping Infrastructure as Code Secure

Многие знают и используют различные SAST для кода, но о сканировании IaC задумываются далеко не все. Кто-то обходится линтерами, но это редко решает проблемы безопасности. Но готовые решения есть, и даже не за Камаз денег.

KICS - сканер infrastructure-as-code от Checkmarx. Опенсорсный, расширяемый и работающий.

Поддерживает множество платформ:
- Terraform
- Ansible
- Helm
- Docker
- Docker Compose
- Kubernetes
И множество других (даже Tencent Cloud есть, хоть и в бете).

Интегрируется в CI/CD, но может работать и в виде Docker-контейнера:

```
# Сканирование директории
docker run -t -v {path_to_host_folder_to_scan}:/path checkmarx/kics:latest scan -p /path -o "/path/"

# Сканирование файла
docker run -t -v {path_to_host_folder}:/path checkmarx/kics:latest scan -p /path/{filename}.{extension} -o "/path/"
```

Можно проверить на тестовых ассетах.

Для пользователей Gitlab почти всё готово, есть интеграция KICS в Gitlab.
А для большего shift-left есть плагин для Visual Studio Code.

KICS генерирует отчёты в json, так что можно импортировать в какой-нибудь агрегатор, например в DefectDojo.

Репозиторий: github.com/Checkmarx/kics
Документация: docs.kics.io

GitHub

GitHub - Checkmarx/kics: Find security vulnerabilities, compliance issues, and infrastructure misconfigurations early in the development…

Find security vulnerabilities, compliance issues, and infrastructure misconfigurations early in the development cycle of your infrastructure-as-code with KICS by Checkmarx. - Checkmarx/kics

Nmap Dashboard with Grafana

Дашборд в Grafana для nmap? А почему бы и нет?

Результаты сканирования nmap визуализировали не раз и не два (я как-то писал про разные способы, вроде NMapify, nmap-formatter, WebMap).

Тут суть тоже довольно проста: генерируем отчёт в xml, скриптом генерируем базу sqlite, которую скармливаем Grafana.

Вариант не очень универсальный (обрабатываются скрипты http-title и ssl-cert), но как ещё один способ визуализации выглядит интересно.

Репозиторий: github.com/hackertarget/nmap-did-what/

HackerTarget.com

Nmap Dashboard Using Grafana | HackerTarget.com

Visualise Nmap Results with a detailed Dashboard built using the powerful Open Source Grafana Analytics Software.

YARA is dead, long live YARA-X

Yara мертва, но пока что чуть-чуть. Спустя много лет Yara решили переписать на Rust и назвали её - YARA-X.
Обещают улучшение пользовательского опыта (информативные ошибки, обновлённый CLI), совместимость с правилами Yara на 99% (есть особенности в правилах) и улучшенную производительность.

Забрасывать Yara пока не планируют, будут выходить исправления и небольшие фичи, но крупных обновлений можно не ждать.
Что касаемо Yara-x, то она ещё в бете, но уже вполне пригодна для использования.

Если вы используете готовые правила (например от Yara Forge), я бы пока не торопился переходить.

Основные различия YARA-X vs YARA можно почитать в документации проекта.

Virustotal

YARA is dead, long live YARA-X

For over 15 years, YARA has been growing and evolving until it became an indispensable tool in every malware researcher's toolbox. Througho...

Немного бесполезных фактов: EvilGophish теперь умеет в Smishing и QR-коды с интеграцией оных в фишинговые страницы.
Но есть нюанс. Это доступно только для спонсоров на Github.

Бесплатная версия EvilGophish всё ещё доступна на Github, но больше не поддерживается.

Остальные фреймворки покрылись пылью, но есть SniperPhish, который ещё как-то поддерживался (правда последняя версия вышла год назад).

Ссылки:
QR Code Phishing with EvilGophish
Introduction to Smishing: Understanding SMS Phishing Tactics

fin3ss3g0d's Blog -

Smishing with EvilGophish - fin3ss3g0d's Blog

Introduction to Smishing: Understanding SMS Phishing Tactics In the evolving landscape of cybersecurity threats, smishing—or SMS phishing—stands out as a formidable technique employed by adversaries to exploit human vulnerabilities. Smishing operates on a…

My Personal Study Guide For Delving into Hacking and Cybersecurity

Учебный план здорового человека (а не Ахмед за 90 дней).

Автор разделил план на 4 уровня, но без конкретной привязки по времени. И этот план довольно хардкорен.

Начиная с Гарвардского CS50 (он крутой, советую посмотреть хотя бы старый в переводе Vert Dider) и "Хакинг: Исскуство эксплоита", до курсов от guyinatuxedo (nightmare) и множества CTF различной сложности.

noodulz.xyz

My Personal Study Guide For Delving into Hacking and Cybersecurity |

A level-by-level approach to learning the low-level fundamentals of computers for CTFs, exploit development, security etc.

Living Off The Land - атаки во взломанной системе, позволяющие для продвижения и/или закрепления использовать только то, что уже есть в системе. По каким-то причинам термин Living Off The Land часто применяется только к Windows, хотя в случае с системами на Linux это работает довольно похоже.

Смысл Living Off The Land довольно прост - использовать те инструменты, которые уже есть. Это может быть привычный Certutil в Windows и curl в Linux, так и иные бинарники (а это могут быть nmap, python и куча всего) которые либо имеют чрезмерные права, либо своим функционалом могут сыграть на руку атакующему (sudo из vim выглядит круто, хоть и встречается только в ctf).

Но раз есть что-то, что можно собрать в список, должны быть и сами списки.
GTFOBins - список бинарников для Linux-систем
LOLBAS - список бинарников для Windows. В дополнении ещё и с указанием техник по MITRE ATT&CK.

Немного про Living Off The Land:
CISA - Identifying and Mitigating Living Off the Land Techniques
The Hacker News - LOLBAS in the Wild: 11 Living-Off-The-Land Binaries That Could Be Used for Malicious Purposes

API-Security-Checklist - чеклист безопасности API от Shieldfy. Чеклист охватывает множество топиков (вроде аутентификации, СI/CD, ввода и мониторинга).

Чеклист ведётся на 29 языках, так что с минимальной адаптацией можно брать в работу.

Кстати, если вы пишите свой инструмент для проверки своего API, то тем более советую присмотреться, так как почти все необходимые проверки указаны.

GitHub

GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…

Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist