Compare commits
2 Commits
68a26880fe
...
9ae878f630
Author | SHA1 | Date | |
---|---|---|---|
|
9ae878f630 | ||
|
a8a9c55aa0 |
BIN
notatki/010_security_tools.pdf
(Stored with Git LFS)
Normal file
BIN
notatki/010_security_tools.pdf
(Stored with Git LFS)
Normal file
Binary file not shown.
29
notatki/md/010_security_tools.md
Normal file
29
notatki/md/010_security_tools.md
Normal file
@ -0,0 +1,29 @@
|
||||
---
|
||||
marp: true
|
||||
theme: gaia
|
||||
backgroundColor: #fff
|
||||
backgroundImage: url('img/hero-background.svg')
|
||||
|
||||
---
|
||||
# </br> </br>
|
||||
# :shield: Security Tools :shield:
|
||||
|
||||
|
||||
---
|
||||
# WAF Managed Rules
|
||||
- [AWS WAF Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) to zbiór reguł bezpieczeństwa dostarczanych i utrzymywanych przez AWS lub Zewnętrznych Dostawców;
|
||||
- Każdorazowo reguły powinny zostać gruntownie przetestowane przed wdrożeniem produkcyjnym;
|
||||
- Korzystanie z reguł nie zwalnia nas z odpowiedzialności korzystania z aplikacji webowych;
|
||||
---
|
||||
|
||||
|
||||
# Nikto
|
||||
- [Nikto](https://cirt.net/Nikto2) - bezpłatny skaner bezpieczeństwa aplikacji webowych;
|
||||
- może być odpalony z CLI;
|
||||
- pozwala na ustalenie zakresu skanu - [Tuning](https://github.com/sullo/nikto/wiki/Scan-Tuning) ;
|
||||
---
|
||||
# Siege
|
||||
- [Siege](https://github.com/JoeDog/siege) - narzędzie do testowania wydajności aplikacji webowych;
|
||||
- pozwala na symulację dużego ruchu sieciowego na określone adresy URL;
|
||||
- po zakończeniu testu można otrzymać raport końcowy;
|
||||
|
31
zadania.md
31
zadania.md
@ -104,8 +104,37 @@ Content-Security-Policy-Report-Only: default-src 'none'; form-action 'none'; fra
|
||||
- query string
|
||||
- CATPCHA
|
||||
3. Dodaj regułę WAF, która ustawi rate limit dla dostępu do strony `/login.html`.
|
||||
4. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
|
||||
|
||||
# Security Tools
|
||||
1. Zapoznaj się z narzędziami [nikto](https://cirt.net/Nikto2) oraz [Siege](https://github.com/JoeDog/siege)
|
||||
2. Zapoznaj się z regułami [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest
|
||||
2. Przygotuj infrastrukturę w AWS na bazie skryptów:
|
||||
- [create-vpc.sh](skrypty/create-vpc.sh)
|
||||
- [create-ec2-in-vpc.sh](skrypty/create-ec2-in-vpc.sh)
|
||||
- [create-alb-in-vpc.sh](skrypty/create-alb-in-vpc.sh)
|
||||
3. Wykorzystaj narzędzie [nikto](https://cirt.net/Nikto2) do przetestowania poziomu bezpieczeństwa swojej infrastruktury. Poniżej przykład użycia:
|
||||
```bash
|
||||
git clone https://github.com/sullo/nikto
|
||||
cd nikto/program
|
||||
chmod +x nikto.pl
|
||||
./nikto.pl -useragent "UAM WMI Lab" -D V -T <id> -h https://<domain url> -o ~/nikto-report.txt
|
||||
```
|
||||
4. Wykorzystaj narzędzie [Siege](https://github.com/JoeDog/siege) aby przetestować wytrzymałość swojej infrastruktury. Poniżej przykład użycia:
|
||||
```bash
|
||||
curl https://download.joedog.org/siege/siege-latest.tar.gz
|
||||
tar -xvzf siege-latest.tar.gz
|
||||
cd siege-4.1.7/
|
||||
chmod +x configure
|
||||
./configure --prefix ~/siege-4.1.7/
|
||||
make
|
||||
make install
|
||||
cd ~/siege-4.1.7/bin/
|
||||
./siege.config
|
||||
./siege -c 10 -t 10s https://<domain url>
|
||||
```
|
||||
|
||||
|
||||
2. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
|
||||
|
||||
## IAM
|
||||
1. Przygotuj nową maszynę EC2, do której dostęp będzie możliwy z konsoli AWS.
|
||||
|
Loading…
Reference in New Issue
Block a user