jhelak/bezpieczenstwo-w-chmurze
4
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

new materials added

Browse Source
This commit is contained in:
Jan Helak 2024-12-13 13:48:33 +01:00
parent 68a26880fe
commit a8a9c55aa0
2 changed files with 59 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

29
notatki/md/010_security_tools.md Normal file
View File

@ -0,0 +1,29 @@
---
marp: true
theme: gaia
backgroundColor: #fff
backgroundImage: url('img/hero-background.svg')
---
# </br> </br>
# :shield: Security Tools :shield:
---
# WAF Managed Rules
- [AWS WAF Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) to zbiór reguł bezpieczeństwa dostarczanych i utrzymywanych przez AWS lub Zewnętrznych Dostawców;
- Każdorazowo reguły powinny zostać gruntownie przetestowane przed wdrożeniem produkcyjnym;
- Korzystanie z reguł nie zwalnia nas z odpowiedzialności korzystania z aplikacji webowych;
---
# Nikto
- [Nikto](https://cirt.net/Nikto2) - bezpłatny skaner bezpieczeństwa aplikacji webowych;
- może być odpalony z CLI;
- pozwala na ustalenie zakresu skanu - [Tuning](https://github.com/sullo/nikto/wiki/Scan-Tuning) ;
---
# Siege
- [Siege](https://github.com/JoeDog/siege) - narzędzie do testowania wydajności aplikacji webowych;
- pozwala na symulację dużego ruchu sieciowego na określone adresy URL;
- po zakończeniu testu można otrzymać raport końcowy;

31
zadania.md
View File

@ -104,8 +104,37 @@ Content-Security-Policy-Report-Only: default-src 'none'; form-action 'none'; fra
- query string
- CATPCHA
3. Dodaj regułę WAF, która ustawi rate limit dla dostępu do strony `/login.html`.
4. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
# Security Tools
1. Zapoznaj się z narzędziami [nikto](https://cirt.net/Nikto2) oraz [Siege](https://github.com/JoeDog/siege)
2. Zapoznaj się z regułami [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest
2. Przygotuj infrastrukturę w AWS na bazie skryptów:
- [create-vpc.sh](skrypty/create-vpc.sh)
- [create-ec2-in-vpc.sh](skrypty/create-ec2-in-vpc.sh)
- [create-alb-in-vpc.sh](skrypty/create-alb-in-vpc.sh)
3. Wykorzystaj narzędzie [nikto](https://cirt.net/Nikto2) do przetestowania poziomu bezpieczeństwa swojej infrastruktury. Poniżej przykład użycia:
```bash
git clone https://github.com/sullo/nikto
cd nikto/program
chmod +x nikto.pl
./nikto.pl -useragent "UAM WMI Lab" -D V -T <id> -h https://<domain url> -o ~/nikto-report.txt
```
4. Wykorzystaj narzędzie [Siege](https://github.com/JoeDog/siege) aby przetestować wytrzymałość swojej infrastruktury. Poniżej przykład użycia:
```bash
curl https://download.joedog.org/siege/siege-latest.tar.gz
tar -xvzf siege-latest.tar.gz
cd siege-4.1.7/
chmod +x configure
./configure --prefix ~/siege-4.1.7/
make
make install
cd ~/siege-4.1.7/bin/
./siege.config
./siege -c 10 -t 10s https://<domain url>
```
2. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
## IAM
1. Przygotuj nową maszynę EC2, do której dostęp będzie możliwy z konsoli AWS.