Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.
Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.
https://standoff365.com/ru
Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.
https://standoff365.com/ru
Как говорится — не bWAPP'ом единым!
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.
Говорит, что было бы круто добавить эту функциональность в Wireshark.
https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/
Говорит, что было бы круто добавить эту функциональность в Wireshark.
https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/
У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
portswigger.net
Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2024, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
https://habr.com/ru/company/dsec/blog/529088/
Хабр
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили...
InfoSec Black Friday Deals 2020
Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals
1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.
Большая часть скорее всего появится завтра, но уже есть из чего выбирать.
Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals
1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.
Большая часть скорее всего появится завтра, но уже есть из чего выбирать.
GitHub
GitHub - 0x90n/InfoSec-Black-Friday: All the deals for InfoSec related software/tools this Black Friday
All the deals for InfoSec related software/tools this Black Friday - 0x90n/InfoSec-Black-Friday
Cybershit
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/
В продолжении темы с плагинами для Burp, если вы занимаетесь тестированием веб-приложений с GraphQL, хотите получить структуру данных или просто поиграть с запросами и мутациями советую попробовать InQL Scanner (может быть stand-alone инструментом, что тоже удобно). Недавно ребята релизнули v3, куда завезли кучу новый фич и проапгрейдили свой механизм генерации запросов.
https://github.com/doyensec/inql
https://blog.doyensec.com/2020/11/19/inql-scanner-v3.html
Для тех, кто не знаком с GraphQL или только погружается в тему > https://tttttt.me/cybershit/645
https://github.com/doyensec/inql
https://blog.doyensec.com/2020/11/19/inql-scanner-v3.html
Для тех, кто не знаком с GraphQL или только погружается в тему > https://tttttt.me/cybershit/645
GitHub
GitHub - doyensec/inql: InQL is a robust, open-source Burp Suite extension for advanced GraphQL testing, offering intuitive vulnerability…
InQL is a robust, open-source Burp Suite extension for advanced GraphQL testing, offering intuitive vulnerability detection, customizable scans, and seamless Burp integration. - doyensec/inql
—Партнерский пост—
Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.
С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.
Все по делу и на постоянной основе.
«Руки-ножницы российского инфосека» — SecAtor
Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.
С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.
Все по делу и на постоянной основе.
«Руки-ножницы российского инфосека» — SecAtor
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
Forwarded from Xymfrx
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
https://github.com/OWASP/wstg/releases/tag/v4.2
GitHub
Release Release v4.2 · OWASP/wstg
Published here: https://owasp.org/www-project-web-security-testing-guide/v42/
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.
Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.
PoC прилагается.
https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.
PoC прилагается.
https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
Medium
PsExec Local Privilege Escalation
So…this one’s been here for a while: a local privilege escalation vulnerability in PsExec. This local privilege escalation allows a…
Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.
Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.
https://gamehacking.academy/
А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)
Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.
https://gamehacking.academy/
А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)
Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.
Команде защиты также на вооружение и проверок на своей инфраструктуре.
https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
Команде защиты также на вооружение и проверок на своей инфраструктуре.
https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/
p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
luemmelsec.github.io
Sailing Past Security Measures In AD
Today we´re going to talk a little about possible ways to circumvent some of the security measures one might face during an engagement in an Active Directory environment.
We as pentesters are heavily relying on our tools like Bloodhound, Rubeus, mimikatz…
We as pentesters are heavily relying on our tools like Bloodhound, Rubeus, mimikatz…
OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.
https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
Forwarded from ZeroNights
Новые место и дата ZN 2021 📢
Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.
В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.
Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.
Сайт: https://zeronights.ru/
Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.
В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.
Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.
Сайт: https://zeronights.ru/
Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.
Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:
ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.
ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.
АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.
ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.
БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.
ССЫЛКИ
Старт дискуссии> https://tttttt.me/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist
P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:
ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.
ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.
АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.
ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.
БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.
ССЫЛКИ
Старт дискуссии> https://tttttt.me/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist
P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
Telegram
Stepan in Cybersecurity in Russian - clubhouse
Коллеги обсуждаю вопрос с руководством относительно WAF и его эффективности, могу услышать ваши КОНСТРУКТИВНЫЕ комментарии? (На сколько он эффективен если строго прописать правила для api сервисов)
Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.
Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.
Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/
Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.
Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/