Budibase is a low code platform for creating internal tools, workflows, and admin panels. Versions prior to 2.4.3 (07 March 2023) are vulnerable to Server-Side Request Forgery. This can lead to an attacker gaining access to a Budibase AWS secret key. Users of Budibase cloud need to take no action. Self-host users who run Budibase on the public internet and are using a cloud provider that allows HTTP access to metadata information should ensure that when they deploy Budibase live, their internal metadata…
В данном цикле статей я опишу реализацию дашбордов по уязвимостям на no-code решении Budibase, разберу собственную систему приоритизации уязвимостей, покажу, как повысить эффективность устранения угроз с помощью EPSS, и как объединить данные из разных решений в области…
Приоритизация уязвимостей является важным этапом, входе которого необходимо оценить риск и последовательность устранения уязвимостей в приоритете - от самого критического до самого низкого риска.В предыдущей статье я описывал визуализацию уязвимостей с помощью Budibase, в этой статье я опишу собственную реализацию оценки приоритетности устранения уязвимостей и добавлю функционал на Budibase платформу. Читать далее
Это вступление к серии «Управление уязвимостями для самых маленьких. Если вы открыли этот текст на Хабре, то про управление уязвимостями уже наверняка что-то слышали. Может, у вас в компании стоит сканер, который кто-то когда-то настроил и забыл. Может, прилетел приказ ФСТЭК, и сверху сказали «навести порядок». А может, вы просто устали кивать на совещаниях, где сыплют CVSS, EPSS и каким-то CTEM, и хотите наконец понять, что из этого работает, а что просто красивые слайды с конференции. Читать далее