Seguridad
Página 7
Cómo construir el sistema de test WAF
Para ayudar a nuestros clientes a proteger la seguridad de sus sitios y aplicaciones —sin dejar de ofrecer a sus usuarios experiencias fiables online— hemos construido un cortafuegos de aplicaciones web (WAF) integral y muy fácil de configurar. Para ofrecer una solución integral que proteja realmente tu infraestructura es esencial someter continuamente a prueba esa solución. En esta entrada, explicaremos cómo garantizamos la calidad en la implementación de WAF a nuestros clientes, sometiéndola continuamente a prueba utilizando nuestro testing framework o marco para pruebas WAF (FTW, por sus siglas en inglés), y profundizaremos en los hallazgos y contribuciones realizados en la comunidad OWASP CRS con FTW.
Cómo mitigar un ataque DDoS y cómo protegerse para evitarlo
En la primera parte de esta serie echamos un vistazo al panorama cambiante de los DDoS (ataques de denegación de servicio). Queremos ofrecer una idea de la situación en términos de dimensiones y tipología de los ataques, y ayudarte a tomar decisiones mejor informadas para proteger tu infraestructura. En esta entrada compartiremos nuestra visión interna sobre la forma en que protegemos a nuestros clientes, las lecciones que hemos aprendido con los DDoS reales y presentaremos nuestra lista de verificación recomendada sobre cómo mitigar un ataque DDoS.
Cómo lanzar pruebas continuas de fuzzing autoservicio
OSS-Fuzz es un proyecto innovador que supone un avance en la ya puntera ingeniería de seguridad OSS y que mejora la calidad general del software que presta servicio a Internet. En esta publicación explicaré cómo utilizar los componentes de código abierto de google/oss-fuzz para lanzar pruebas de fuzzing autoservicio continuas para software público y privado utilizando h2o, el proxy HTTP/2 de Fastly, como ejemplo de ejecución.
Cómo realizar pruebas de fuzzing a un servidor con American Fuzzy Lop
En esta entrada de blog, voy a explicar cómo utilizar el modo persistente experimental de American Fuzzy Lop (AFL) para abrir las puertas de un servidor sin tener que hacer modificaciones significativas en su código base. He utilizado esta técnica en Fastly para ampliar la realización de pruebas en algunos de los servidores de los que dependemos y en otros con los que estamos experimentando.
FREAK no afecta a los servicios de Fastly
Fastly no es vulnerable a Logjam. Solo ofrecemos la variante de curva elíptica del intercambio de claves Diffie-Hellman (ECDHE), que es más segura, mientras que el mecanismo de intercambio de claves RSA lo reservamos para clientes que no admiten ECDHE. Dado que Fastly no ofrece opciones de conjuntos de cifrado de grado de exportación, ni tampoco el mecanismo de intercambio de claves Diffie-Hellman, nuestros servicios no se ven afectados.
