Отчет о нарушениях данных за 2016, 2017, 2018 годы.

time.com/3404330/home-depot-hack.

www.infoworld.com/article/2626167/third-party-code-putting-companies-at-risk.html.

Пример атаки на цепь поставок: www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hacker-infects-node-js-package-to-steal-from-bitcoin-wallets.

«Инъекционная» уязвимость признана многими специалистами по безопасности угрозой № 1 для безопасности программного обеспечения:

www.owasp.org/index.php/Top_10-2017_A1-Injection;

www.owasp.org/index.php/Top_10_2013-A1-Injection;

www.owasp.org/index.php/Top_10_2010-A1-Injection.

Кодирование выходных данных и предотвращение XSS-атак: portswigger.net/web-security/cross-site-scripting/preventing.

Проверка границ: en.wikipedia.org/wiki/Bounds_checking.

Целочисленное переполнение: en.wikipedia.org/wiki/Integer_overflow.

Переполнение буфера: en.wikipedia.org/wiki/Buffer_overflow.

Шпаргалка OWASP по профилактике XSS-уязвимости: owasp.org/www-project-cheat-sheets/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html.

Rust – безопасный для памяти язык программирования: acks.mozilla.org/2019/02/rewriting-a-browser-component-in-rust.

OWASP Топ-10 за 2017 год: 77 % приложений содержит XSS-уязвимости. www.ptsecurity.com/ww-en/analytics/web-application-vulnerabilities-statistics-2019.

База данных CVE Mitre: cve.mitre.org.

Несмотря на высокую сложность эксплойта, POST-запросы по-прежнему уязвимы для данного типа атак: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X–XSS-Protection.

Кликджекинг: portswigger.net/web-security/clickjacking.

Предзагрузка HSTS-суффикса: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#Preloading_Strict_Transport_Security.

Предзагрузка HSTS-суффикса: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#Preloading_Strict_Transport_Security.

Список разрешенных Feature Policy источников: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy.

Пакет Nuget: www.nuget.org/packages/NWebsec.AspNetCore.Middleware.

Значение Same-Site ‘Lax’ по умолчанию:

а) web.dev/samesite-cookies-explained/#changes-to-the-default-behavior-without-samesite;

б) tools.ietf.org/html/draft-west-cookie-incrementalism-00.

Рабочий фактор и «засыпка перцем»: cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#work-factors.

Рабочий фактор и «засыпка перцем»: cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#work-factors.

Технология Deep Packet Inspection: en.wikipedia.org/wiki/Deep_packet_inspection.

Технический долг: en.wikipedia.org/wiki/Technical_debt.

«Безопасность через проектирование»: Wikipedia.org.

Из статьи онлайн-журнала Slashdot: ошибка, обнаруженная на этапе требований, стоит $1, на этапе проектирования – $10, на этапе кодирования – $100, на этапе тестирования – $1000: developers.slashdot.org/story/03/10/21/0141215/software-defects-do-late-bugs-really-cost-more.

Canadian Center for Cyber Security: cyber.gc.ca.

Люксембург: www.circl.lu.

Япония: www.jpcert.or.jp/english/at/2020.html.

Великобритания (Отчет об угрозах): www.ncsc.gov.uk.

Соединенные Штаты Америки: www.us-cert.gov/ncas/alerts.

Новая Зеландия (Оповещения): www.cert.govt.nz/it-specialists.

ITSG-33: www.cse-cst.gc.ca/sites/default/files/itsg33-ann4a-eng.xls.

Специальная публикация NIST 800-53 S-3: nvd.nist.gov/800-53/Rev4/control/SC-3.

ITSG-33: www.cse-cst.gc.ca/sites/default/files/itsg33-ann4a-eng.xls.

Специальная публикация NIST 800-53 S-2: nvd.nist.gov/800-53/Rev4/control/SC-2.

Подделка межсайтовых запросов (CSRF): www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF).

Сравнение открытого исходного кода и закрытого исходного кода: www.researchgate.net/publication/220891308_Security_of_Open_Source_and_Closed_Source_Software_An_Empirical_Comparison_of_Published_Vulnerabilities.

Нехватка специалистов в области информационной безопасности: www.infosecurity-magazine.com/news/cybersecurity-skills-shortage-tops.

Высокая стоимость услуг специалистов информационной безопасности: www.mondo.com/blog-highest-paid-cybersecurity-jobs.

Деревья атак: en.wikipedia.org/wiki/Attack_tree.

STRIDE: en.wikipedia.org/wiki/STRIDE_%28security%29.

PASTA: www.owasp.org/images/a/aa/AppSecEU2012_PASTA.pdf.

Обнаружение уязвимостей в Struts в 2016 году: www.securitymetrics.com/blog/apache-struts-vulnerability-what-you-should-do.

Шпаргалка OWASP по управлению сессиями: owasp.org/www-project-cheat-sheets/cheatsheets/Session_Management_Cheat_Sheet.

«Разбиение стека ради удовольствия и прибыли»: www-inst.eecs.berkeley.edu/~cs161/fa08/papers/stack_smashing.pdf.

Деятельность социальной сети Facebook запрещена на территории РФ по основаниям осуществления экстремистской деятельности (согласно ст. 4 закона РФ «О средствах массовой информации»).

Модели управления доступом (из памятки OWASP): cheatsheetseries.owasp.org/cheatsheets/Access_Control_Cheat_Sheet.html.

Атаки на журналы (три источника):

а) owasp.org/www-community/attacks/Log_Injection;

б) www.sans.org/blog/what-works-in-appsec-log-forging;

в) github.com/votd/vulnerability-of-the-day/wiki/Log-Overflow.

Шпаргалка OWASP по обработке ошибок: cheatsheetseries.owasp.org/cheatsheets/Error_Handling_Cheat_Sheet.html.

Шпаргалка OWASP по регистрации: cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html.

Заголовок X-Forwarded-For: Доминик Ригетто предоставил доказательства.

PII: en.wikipedia.org/wiki/Personal_data.

Шпаргалка OWASP по CSRF: cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html.

SSRF:

а) owasp.org/www-community/attacks/Server_Side_Request_Forgery;

б) portswigger.net/web-security/ssrf.

SSRF: www.darkreading.com/edge/theedge/ssrf-101-how-server-side-request-forgery-sneaks-past-your-web-apps-/b/d-id/1337121.

SSRF: www.acunetix.com/blog/articles/server-side-request-forgery-vulnerability.

Десериализация: cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html.

HMAC SHA256: cryptobook.nakov.com/mac-and-key-derivation.

Символическое исполнение: en.wikipedia.org/wiki/Symbolic_execution.

Определение SCA: www.flexerasoftware.com/blog/what-is-software-composition-analysis.

Модульное тестирование: softwaretestingfundamentals.com/unit-testing.

Шпаргалка по уклонению от XSS-фильтра: owasp.org/www-community/xss-filter-evasion-cheatsheet.

Регрессионное тестирование: en.wikipedia.org/wiki/Regression_testing.

IaC: en.wikipedia.org/wiki/Infrastructure_as_code.

SaC: www.oreilly.com/library/view/devopssec/9781491971413/ch04.html.

Фаззинг: en.wikipedia.org/wiki/Fuzzing.

IAST:

а) www.veracode.com/security/interactive-application-security-testing-iast;

б) www.contrastsecurity.com/knowledge-hub/glossary/interactive-application-security-testing.

Теневые IT: en.wikipedia.org/wiki/Shadow_IT.

Время обнаружения утечки данных: www.varonis.com/blog/data-breach-response-times.

Определение метрик: www.lexico.com/en/definition/metrics.

Приобрести «Руководство по DevOps: как создать гибкость, надежность и безопасность мирового уровня в научно-технических организациях» напрямую у авторов: itrevolution.com/book/the-devops-handbook.

«Бережливый стартап…»: theleanstartup.com/book.

Инструменты категоризации трафика: www.esecurityplanet.com/cloud/data-storage-security.html.

Ограничение ресурсов контейнеров и настройка оповещения о достижении лимита: kubernetes.io/docs/concepts/policy/resource-quotas.

Не запускать контейнеры от имени root: resources.whitesourcesoftware.com/blog-whitesource/docker-container-security-challenges-and-best-practices.

Изоляция функциональных объектов: ссылка на Snyk: snyk.io/blog/10-serverless-security-best-practices.

Применение принципа наименьших привилегий при настройке бессерверных приложений: www.serverless.com/blog/serverless-deployment-best-practices.

Сканеры для CI/CD: blog.checkpoint.com/2020/04/29/9-serverless-security-best-practices-you-must-read.

Изоляция функциональных объектов: ссылка на Snyk: snyk.io/blog/10-serverless-security-best-practices.

Определение труду в своей речи «Инфраструктура как код» дал Стивен Муравски на технической конференции Microsoft Ignite the Tour 2019.

Код – единственный источник истины: stackify.com/what-is-infrastructure-as-code-how-it-works-best-practices-tutorials.

Будьте осторожны с предоставлением права на разработку IaC: techbeacon.com/enterprise-it/infrastructure-code-engine-heart-devops.

Неизменяемость: www.thorntech.com/2018/02/infrastructure-as-code-best-practices.

Безопасность как код: www.bmc.com/blogs/security-as-code.

Определение CI/CD дал Стивен Муравски на технической конференции Microsoft Ignite the Tour 2019.

Определение CI/CD дал Стивен Муравски на технической конференции Microsoft Ignite the Tour 2019.

Определение CI/CD дал Стивен Муравски на технической конференции Microsoft Ignite the Tour 2019.

Три пути внедрения DevOps: itrevolution.com/wp-content/uploads/files/PhoenixProjectExcerpt.pdf.

Три пути внедрения DevOps: itrevolution.com/wp-content/uploads/files/PhoenixProjectExcerpt.pdf.

Оболочки для библиотек: Джастин Осборн, Зейн Лэки, Клинт Гиблер и Даг Де Перри на групповом обсуждении на конференции по вопросам информационной безопасности 2020 года. «Вотпочемуунасвсеплохо» – шутка Джастина.

Определение DevSecOps: Имран А. Мохаммед – основатель и глава Practical DevSecOps.

Облачные вычисления: en.wikipedia.org/wiki/Cloud_computing.

Часть определения ориентированности на облако: www.infoworld.com/article/3281046/what-is-cloud-native-the-modern-way-to-develop-software.html.

Часть определения ориентированности на облако: thenewstack.io/10-key-attributes-of-cloud-native-applications.

Часть определения ориентированности на облако: Дэвид Блэнк-Эдельман и Дженнифер Дэвис на Microsoft Ignite the Tour 2019.

Самые популярные решения являются самыми небезопасными – пример: stackoverflow.com/a/14968272/451455.

Длина и энтропия пароля: en.wikibooks.org/wiki/Cryptography/Key_Lengths.

Происхождение паролей: theconversation.com/the-long-history-and-short-future-of-the-password-76690.

Определение непрерывного обучения 1: www.ispringsolutions.com/blog/continuous-learning.

Определение непрерывного обучения 1: www.ispringsolutions.com/blog/continuous-learning.

Определение непрерывного обучения 2: www.learnupon.com/blog/continuous-learning.

Список ресурсов для обучения частично представлен в твиттере @shehackspurple.