Route Detect: Encuentra errores de seguridad de autenticación (Authn) y autorización (Authz)

Los errores de autenticación y autenticación de rutas HTTP de aplicaciones web son algunos de los problemas de seguridad más comunes que se encuentran en la actualidad. Estos recursos estándar de la industria resaltan la gravedad del problema:

Frameworks web compatibles ( route-detect ID entre paréntesis):

  • Python: Django ( django , django-rest-framework ), matraz ( flask ), Sanic ( sanic )
  • PHP: Laravel ( laravel ), Symfony ( symfony ), CakePHP ( cakephp )
  • Rubí: Rieles* ( rails ), Uva ( grape )
  • Java: JAX-RS ( jax-rs ), primavera ( spring )
  • Ir: Gorila ( gorilla ), Ginebra ( gin ), Chi ( chi )
  • JavaScript/TypeScript: Expreso ( express ), Reaccionar ( react ), Angular ( angular )

El soporte de rieles es limitado. Consulte este problema para obtener más información.

Instalación

Utilice pip para instalar route-detect :

$ python -m pip install --upgrade route-detect

Puedes comprobar que route-detect está instalado correctamente con el siguiente comando:

$ echo 'print(1 == 1)' | semgrep --config $(routes which test-route-detect) -
Scanning 1 file.
Findings:
/tmp/stdin
routes.rules.test-route-detect
Found '1 == 1', your route-detect installation is working correctly
1┆ print(1 == 1)
Ran 1 rule on 1 file: 1 finding.

Usando

route-detect

proporciona el routes comando CLI y lo utiliza semgrep para buscar rutas.

Utilice el which subcomando para señalar semgrep las reglas correctas de la aplicación web:

$ semgrep --config $(routes which django) path/to/django/code

Utilice el viz subcomando para visualizar información de ruta en su navegador:

$ semgrep --json --config $(routes which django) --output routes.json path/to/django/code
$ routes viz --browser routes.json

Si no está seguro de qué marco buscar, puede utilizar el all ID especial para comprobarlo todo:

$ semgrep --json --config $(routes which all) --output routes.json path/to/code

Si tiene una lógica de autenticación o autenticación personalizada, puede copiar route-detect las reglas de :

$ cp $(routes which django) my-django.yml

Luego puede modificar la regla según sea necesario y ejecutarla como se muestra arriba:

$ semgrep --json --config my-django.yml --output routes.json path/to/django/code
$ routes viz --browser routes.json

Contribuyendo

route-detect

usos poetry para la gestión de dependencias y configuración.

Antes de continuar, instale las dependencias del proyecto con el siguiente comando:

$ poetry install --with dev

Enlaces

Lint todos los archivos del proyecto con el siguiente comando:

$ poetry run pre-commit run --all-files

Pruebas

Ejecute pruebas de Python con el siguiente comando:

$ poetry run pytest --cov

Ejecute pruebas de reglas de Semgrep con el siguiente comando:

$ poetry run semgrep --test --config routes/rules/ tests/test_rules/

Descargar Ruta-Detectar

Relacionado

Amazon Sidewalk: La red de Internet que Amazon quiere construir a costa de sus usuarios

Si usas Alexa, Amazon Echo o cualquier otro dispositivo de Amazon y vives en USA; quedan 10 días hasta que te inscribas en un experimento que dejará tu privacidad y seguridad personal en el limbo. El 8 de Junio, Amazon, inscribirá automáticamente a todos sus dispositivos en Amazon Sidewalk. Amazon Sidewalk es el nuevo servicio de malla inalámbrica que compartirá una pequeña porción de tu ancho ¡SEGUIR LEYENDO!

AndOTP: Aplicación de Doble Factor de Código Abierto para Android

Implementa contraseñas de un solo uso basadas en el tiempo (TOTP) y contraseñas de un solo uso basadas en HMAC (HOTP). Simplemente escanee el código QR e inicie sesión con el código generado de 6 dígitos. andOTP es una aplicación de autenticación de dos factores para Android 4.4+. Este proyecto comenzó como una bifurcación de la gran aplicación OTP Authenticator escrita por Bruno Bierbaumer , que ¡SEGUIR LEYENDO!

AnyDesk Sufre Ciberataque: Violación de Servidores y Robo de Contraseñas

AnyDesk es conocido por su popularidad entre empresas como 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas. El programa facilita el acceso remoto a dispositivos a través de redes e Internet. Ataque Revelado En una declaración compartida por AnyDesk se revela que detectaron indicios de un incidente en sus servidores y tras una auditoría de seguridad, confirmaron la compromisión de sus sistemas. La empresa ¡SEGUIR LEYENDO!

Apple corrige fallas de iPhone y macOS bajo la amenaza de un ataque aún activo

Apple lanzó cinco correcciones de seguridad, incluida la inclusión de dos vulnerabilidades en sus sistemas operativos iPhone, iPad y Mac que ya estaban siendo explotadas. Uno de ellos, rastreado como CVE-2022-32917, se puede usar para permitir que aplicaciones maliciosas ejecuten código arbitrario con privilegios de kernel. La falla se arregló con controles de límites mejorados y se lanzaron parches para los modelos iPhone 6 y posteriores, ¡SEGUIR LEYENDO!

Pen Test Partners: Los Boeing 747 reciben actualizaciones críticas a través de disquetes de 3,5 pulgadas

Los DEF CON Boeing 747-400 todavía usan disquetes para cargar bases de datos de navegación críticas, según reveló Pen Test Partners a la comunidad de seguridad de la información después de hurgar en uno de los aviones recientemente abandonados. El hecho llamativo surgió durante una entrevista en video de DEF CON de Alex Lomas de PTP, donde el mismo daba un recorrido por un 747-400, a ¡SEGUIR LEYENDO!

Botnet GoTrim es utilizada para acceder a sitios web de WordPress

Los investigadores de seguridad de Fornit han anunciado que han detectado una nueva campaña de ataques consistente en escanear la estructura de sitios WordPress para robar las contraseñas de los portales de administración de los portales de estos sitios. https://ciberninjas.com/actualizado-malware-rapperbot-ataca-servidores-juegos/ La red encarga de lanzar los ataques sería la red de bots GoTrim. Sitios WordPress atacados por GoTrim Botnet Una vez que los ataques de GoTrim ¡SEGUIR LEYENDO!

El pago por las cuentas verificadas de Twitter genera una nueva campaña de phising

Mientras Twitter anuncia sus planes para cobrar a los usuarios verificados 8 dólares al mes, ya se comienzan a descubrir correos electrónicos de phishing dirigidos a los usuarios verificados. La reorganización del modelo de negocio de Twitter atrae a los estafadores A principios de esta semana, Elon Musk se nombró a sí mismo director ejecutivo de Twitter y anunció planes para renovar el proceso de verificación ¡SEGUIR LEYENDO!

Google Chrome agrega compatibilidad con Passkey

La versión 108 de Google Chrome lanzado recientemente trae consigo varias e interesantes novedades, en primer lugar la introducción del soporte para claves de paso / passkey. https://ciberninjas.com/extensiones-privacidad-chrome/ La última versión del famoso navegador "gran G" se encuentra disponible para Windows 11, macOS y Android, de hecho, ahora se permite a los usuarios iniciar sesión en sitios y aplicaciones sin usar una contraseña. Google Chrome implementa ¡SEGUIR LEYENDO!

Cloudflare pirateado usando Tokens de Autenticación robados en el Ataque de Okta

Cloudflare reveló recientemente que su servidor interno Atlassian fue comprometido por un presunto 'atacante de estado-nación'. Este intruso logró acceder a la wiki Confluence, la base de datos de errores Jira y el sistema de gestión de código fuente Bitbucket de la compañía. En este artículo, exploraremos los detalles del ataque, las medidas de respuesta de Cloudflare y las implicaciones para la seguridad en línea. El ¡SEGUIR LEYENDO!

¿Cómo descargar aplicaciones desde Internet de forma segura?

En el mundo de la tecnología en constante evolución, su teléfono inteligente actúa como una mini supercomputadora en su bolsillo. Pero un gran poder conlleva una gran responsabilidad, especialmente cuando se trata de descargar aplicaciones. Es como navegar en una jungla digital y es necesario estar equipado con las herramientas y los conocimientos adecuados para hacerlo de forma segura. Entonces, profundicemos y exploremos cómo puede garantizar ¡SEGUIR LEYENDO!

Cómo evita DMARC el phising

DMARC es un estándar global para la autenticación de correo electrónico que permite a los remitentes verificar que el correo electrónico realmente proviene de quien dice provenir. Esto ayuda a frenar los ataques de spam y phishing que se encuentran entre los delitos cibernéticos más frecuentes en la actualidad. Gmail, Yahoo y muchos otros grandes proveedores de correo electrónico han implementado DMARC y elogiaron sus beneficios ¡SEGUIR LEYENDO!