Nuclei and DevSecOps

Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).

Прилагаю также дополнительный полезный материал на тему Nuclei:

- Exploiting Race conditions with Nuclei

- How to Scan Continuously with Nuclei?

- Nuclei - Fuzz all the things

#dev #ops #attack #dast

Security Wine (бывший - DevSecOps Wine)

Nuclei and DevSecOps

Если вы сидите в чатиках, посвященных пентестам / уязвимостям веба, то наверняка могли слышать про инструмент Nuclei. Nuclei позиционируется как быстрый сканер уязвимостей в вебе, в котором можно определять шаблоны отправки запросов на базе yaml. Похожий подход используется, как мы знаем, современными SAST (Checkmarx, CodeQL, semgrep). Также, как и в CodeQL, предполагается, что эти же заполненные шаблоны могут быть переданы исследователями безопасности в рамках Bug Bounty. В дальнейшем Nuclei вместе со всеми шаблонами встраивается в CI/CD. У инструмента также есть отдельное репо с готовыми шаблонами на разные случаи жизни (от фаззинга до IoT).

Прилагаю также дополнительный полезный материал на тему Nuclei:

- Exploiting Race conditions with Nuclei

- How to Scan Continuously with Nuclei?

- Nuclei - Fuzz all the things

#dev #ops #attack #dast

hottg.com/sec_devops/473

8.4K viewsDenis Yakimov, edited  May 7, 2021 at 06:55