Разбираемся с IAST
Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений – IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.
Anyone have experience using the ZAP docker images to scan sites? I have a context file I’m feeding the full scan image but it appears to only scan the top level and not recurse. I can see it authenticating and running the checks, but it finds only 12 URLs whereas other scanners find 212. #dast #zaproxy
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
Still unsure of what ZAP does?
See this video..
https://youtu.be/yywD8ebNn6o
#zaproxy #dast #appsec
Подземелье и драконы: что общего между метро и разработкой
Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро! Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем. Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы. Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!
https://habr.com/ru/companies/pt/articles/921356/
#appsec #devsecops #подземка #метро #московское_метро #sast #dast #безопасная_разработка #dependency_check #copilot
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
Tyler Sanderson presents 'Strengthening Web Application Security:
Understanding Threats, Defenses, and Best Practices' July 25th at Nebraska.Code().
https://nebraskacode.amegala.com/
#WebApplicationSecurity #WebThreats #WebDefenses #WebSecurity #OWASP #XSS #CSRF #SQLInjection #CSP #SAST #DAST #Nebraska #WebVulnerabilities #DependencyScanning #webdevelopment #TechnologyConference #CyberSecurity #softwaredevelopment #softwareengineering
Okay let's talk #WednesdayWin. Please share your stories no matter how big or small. Our community: #InfoSec #CyberSec needs to hear some positive stories. All accomplishments count.
For me: 11 years in Open Source #OpenSource
According to LinkedIn I've been working in/on Open Source for 11 years. I suspect that's on the low side, between ZAP and OWASP, but whatever.
Huge thanks to Checkmarx for making possible for me to work on it full time as of last fall. It's been just over 200 days, and it's wonderful!
The @zaproxy team did some stuff in March 😎 You can get the details here:
https://www.zaproxy.org/blog/2025-04-02-zap-updates-march-2025/
Even the strongest buildings (The ones that our guy John from last week build) face real-world threats—earthquakes, storms, or even intruders. That's why we stress-test them. In software, DAST simulates live attacks against your running application, exposing weaknesses before real attackers do. Because security isn’t just about strong materials or design—it’s about surviving the real world. Attack before you get attacked. #DAST #AppSec
Giant set of #zaproxy add-on releases this morning. Including many fixes and improvements.
Here's my latest article on Medium titled "Why You Need To Bake Security Into Your CI/CD Pipelines".
I hope you find it interesting! :)
#blackduck
#cicd
#cyberark
#dast
#devops
#devsecops
#github
#hashicorp #hashicorpvault
#iac
#mendio
#sast
#sca
#terraform
#vault
#vcs
Have you ever tested Dynamic Application Security Testing #DAST part of Microsoft's Azure Edge & Platform? It can help you secure thousands of APIs, addressing challenges in endpoint discovery, authentication, and orchestration🛡️🔐 #becybersmart
https://msrc.microsoft.com/blog/2025/01/scaling-dynamic-application-security-testing-dast/
According to my VM update this morning @zaproxy 2.16.0 is now available on @kalilinux
#DAST #PenTest #WebAppSec #AppSec #RedTeam #PurpleTeam
🛡️ Security Scanner for Web Applications
🔒 Privacy-First Security Analysis 👩💻 Built by Developers, for Developers
Try it now: https://webscan.dev
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing) в последние годы стало уже стандартом. На эту тему есть уже довольно много материала на habr, но я хочу сконцентрироваться на быстром и базовом внедрении решения по безопасности в следующий стек технологий: Infrastructure: Docker, Docker Compose, GitLab, GitLab CI/CD Backend: Python, Django с использованием Poetry Frontend: Vue.js, Nuxt.js Погнали!
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и инструменты использовали в ходе интеграции и используем сейчас.
https://habr.com/ru/companies/basis/articles/869648/
#devops #devsecops #поиск_уязвимостей #безопасная_разработка #инструменты_тестирования #sast #dast #fuzzing #контейнеры
Mindgard beschermt bedrijven tegen ai-bedreigingen met innovatieve benadering https://www.trendingtech.news/trending-news/2024/12/50288/mindgard-beschermt-bedrijven-tegen-ai-bedreigingen-met-innovatieve-benadering #AI-beveiliging #Mindgard #DAST-AI #Lancaster University #financieringsronde #Trending #News #Nieuws
