Compare commits

..

No commits in common. "9ae878f63012276abac1e7b8a9d44f6a8d5d8dd0" and "68a26880fef175299170ba8cb93eff97f1f409eb" have entirely different histories.

3 changed files with 1 additions and 62 deletions

BIN
notatki/010_security_tools.pdf (Stored with Git LFS)

Binary file not shown.

View File

@ -1,29 +0,0 @@
---
marp: true
theme: gaia
backgroundColor: #fff
backgroundImage: url('img/hero-background.svg')
---
# </br> </br>
# :shield: Security Tools :shield:
---
# WAF Managed Rules
- [AWS WAF Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html) to zbiór reguł bezpieczeństwa dostarczanych i utrzymywanych przez AWS lub Zewnętrznych Dostawców;
- Każdorazowo reguły powinny zostać gruntownie przetestowane przed wdrożeniem produkcyjnym;
- Korzystanie z reguł nie zwalnia nas z odpowiedzialności korzystania z aplikacji webowych;
---
# Nikto
- [Nikto](https://cirt.net/Nikto2) - bezpłatny skaner bezpieczeństwa aplikacji webowych;
- może być odpalony z CLI;
- pozwala na ustalenie zakresu skanu - [Tuning](https://github.com/sullo/nikto/wiki/Scan-Tuning) ;
---
# Siege
- [Siege](https://github.com/JoeDog/siege) - narzędzie do testowania wydajności aplikacji webowych;
- pozwala na symulację dużego ruchu sieciowego na określone adresy URL;
- po zakończeniu testu można otrzymać raport końcowy;

View File

@ -104,37 +104,8 @@ Content-Security-Policy-Report-Only: default-src 'none'; form-action 'none'; fra
- query string
- CATPCHA
3. Dodaj regułę WAF, która ustawi rate limit dla dostępu do strony `/login.html`.
4. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
# Security Tools
1. Zapoznaj się z narzędziami [nikto](https://cirt.net/Nikto2) oraz [Siege](https://github.com/JoeDog/siege)
2. Zapoznaj się z regułami [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest
2. Przygotuj infrastrukturę w AWS na bazie skryptów:
- [create-vpc.sh](skrypty/create-vpc.sh)
- [create-ec2-in-vpc.sh](skrypty/create-ec2-in-vpc.sh)
- [create-alb-in-vpc.sh](skrypty/create-alb-in-vpc.sh)
3. Wykorzystaj narzędzie [nikto](https://cirt.net/Nikto2) do przetestowania poziomu bezpieczeństwa swojej infrastruktury. Poniżej przykład użycia:
```bash
git clone https://github.com/sullo/nikto
cd nikto/program
chmod +x nikto.pl
./nikto.pl -useragent "UAM WMI Lab" -D V -T <id> -h https://<domain url> -o ~/nikto-report.txt
```
4. Wykorzystaj narzędzie [Siege](https://github.com/JoeDog/siege) aby przetestować wytrzymałość swojej infrastruktury. Poniżej przykład użycia:
```bash
curl https://download.joedog.org/siege/siege-latest.tar.gz
tar -xvzf siege-latest.tar.gz
cd siege-4.1.7/
chmod +x configure
./configure --prefix ~/siege-4.1.7/
make
make install
cd ~/siege-4.1.7/bin/
./siege.config
./siege -c 10 -t 10s https://<domain url>
```
2. Zapoznaj się z usługą [AWS Shield](https://aws.amazon.com/shield/)
## IAM
1. Przygotuj nową maszynę EC2, do której dostęp będzie możliwy z konsoli AWS.