diff --git a/notatki/md/010_security_tools.md b/notatki/md/010_security_tools.md new file mode 100644 index 0000000..28aa0bf --- /dev/null +++ b/notatki/md/010_security_tools.md @@ -0,0 +1,29 @@ +--- +marp: true +theme: gaia +backgroundColor: #fff +backgroundImage: url('img/hero-background.svg') + +--- +#

+# :shield: Security Tools :shield: + + +--- +# WAF Managed Rules +- [AWS WAF Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) to zbiór reguł bezpieczeństwa dostarczanych i utrzymywanych przez AWS lub Zewnętrznych Dostawców; +- Każdorazowo reguły powinny zostać gruntownie przetestowane przed wdrożeniem produkcyjnym; +- Korzystanie z reguł nie zwalnia nas z odpowiedzialności korzystania z aplikacji webowych; +--- + + +# Nikto +- [Nikto](https://cirt.net/Nikto2) - bezpłatny skaner bezpieczeństwa aplikacji webowych; +- może być odpalony z CLI; +- pozwala na ustalenie zakresu skanu - [Tuning](https://github.com/sullo/nikto/wiki/Scan-Tuning) ; +--- +# Siege +- [Siege](https://github.com/JoeDog/siege) - narzędzie do testowania wydajności aplikacji webowych; +- pozwala na symulację dużego ruchu sieciowego na określone adresy URL; +- po zakończeniu testu można otrzymać raport końcowy; + diff --git a/zadania.md b/zadania.md index 42c852c..2b425e3 100644 --- a/zadania.md +++ b/zadania.md @@ -104,8 +104,37 @@ Content-Security-Policy-Report-Only: default-src 'none'; form-action 'none'; fra - query string - CATPCHA 3. Dodaj regułę WAF, która ustawi rate limit dla dostępu do strony `/login.html`. +4. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/) + +# Security Tools +1. Zapoznaj się z narzędziami [nikto](https://cirt.net/Nikto2) oraz [Siege](https://github.com/JoeDog/siege) +2. Zapoznaj się z regułami [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest +2. Przygotuj infrastrukturę w AWS na bazie skryptów: +- [create-vpc.sh](skrypty/create-vpc.sh) +- [create-ec2-in-vpc.sh](skrypty/create-ec2-in-vpc.sh) +- [create-alb-in-vpc.sh](skrypty/create-alb-in-vpc.sh) +3. Wykorzystaj narzędzie [nikto](https://cirt.net/Nikto2) do przetestowania poziomu bezpieczeństwa swojej infrastruktury. Poniżej przykład użycia: + ```bash + git clone https://github.com/sullo/nikto + cd nikto/program + chmod +x nikto.pl + ./nikto.pl -useragent "UAM WMI Lab" -D V -T -h https:// -o ~/nikto-report.txt + ``` +4. Wykorzystaj narzędzie [Siege](https://github.com/JoeDog/siege) aby przetestować wytrzymałość swojej infrastruktury. Poniżej przykład użycia: + ```bash + curl https://download.joedog.org/siege/siege-latest.tar.gz + tar -xvzf siege-latest.tar.gz + cd siege-4.1.7/ + chmod +x configure + ./configure --prefix ~/siege-4.1.7/ + make + make install + cd ~/siege-4.1.7/bin/ + ./siege.config + ./siege -c 10 -t 10s https:// + ``` + -2. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/) ## IAM 1. Przygotuj nową maszynę EC2, do której dostęp będzie możliwy z konsoli AWS.