Cybershit
7.39K subscribers
95 photos
12 videos
35 files
605 links
Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам?

О канале: http://telegra.ph/Cybershit-08-14
Связь: @cybrsht_bot
Download Telegram
Кстати, уже завтра стартует The Standoff — кибербитва и онлайн-конференция по информационной безопасности. Помимо самого противостояния организаторы обещают насыщенную программу с докладами, поэтому у вас ещё есть время зарегистрироваться.

Программу обещают опубликовать завтра, а само мероприятие продлится до 17 ноября.

https://standoff365.com/ru
Как говорится — не bWAPP'ом единым!

Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.

https://github.com/vavkamil/awesome-vulnerable-apps/
Очень крутой кейс про то, как имея на руках только снапшот виртуальной машины в момент ее компроментации и зашифированный pcap, автор смог не только вытащить сессионные ключи ssh, но и расшифровать трафик. Правда для этого пришлось проанализировать структуру OpenSSH, разложить все буквально на кусочки, понять в каких блоках памяти ОС хранятся данные, связанные с текущей ssh сессией, и в результате получить сессионный ключ.

Говорит, что было бы круто добавить эту функциональность в Wireshark.

https://research.nccgroup.com/2020/11/11/decrypting-openssh-sessions-for-fun-and-profit/
У подразделения PortSwigger Research есть максимально полезная шпаргалка по XSS, которую они постоянно обновляют, убирая уже устаревшие пейлоады и наоборот, собирая и добавляя актуальные, в том числе присланные от комьюнити по всему миру.

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
InfoSec Black Friday Deals 2020

Традиционная подборка интересных предложений «Чёрной пятницы» из сферы инфосек — https://github.com/0x90n/InfoSec-Black-Friday
https://github.com/Securityinfos/Black-Friday-Deals

1Password с 50% скидкой, много платформ для обучения, трейнингов и лаб по скидке (SANS, Practical DevSecOps, PentesterLab и пр.) и многое другое.

Большая часть скорее всего появится завтра, но уже есть из чего выбирать.
Cybershit
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач. https://habr.com/ru/company/dsec/blog/529088/
В продолжении темы с плагинами для Burp, если вы занимаетесь тестированием веб-приложений с GraphQL, хотите получить структуру данных или просто поиграть с запросами и мутациями советую попробовать InQL Scanner (может быть stand-alone инструментом, что тоже удобно). Недавно ребята релизнули v3, куда завезли кучу новый фич и проапгрейдили свой механизм генерации запросов.

https://github.com/doyensec/inql
https://blog.doyensec.com/2020/11/19/inql-scanner-v3.html

Для тех, кто не знаком с GraphQL или только погружается в тему > https://tttttt.me/cybershit/645
—Партнерский пост—

Мир кибербезопасности очень инертен, вымогателей становится только больше, промышленные системы и различные отрасли экономики каждый день страдают от масштабных APT-атак, а активные действия спецслужб только добавляют всему этому шоу пикантности. Ситуация эта вряд ли в ближайшем времени как-то изменится, и лишь продолжит усугубляться, поэтому наш долг держать руку на пульсе.

С этой задачей отлично справляется канал SecAtor. Ребята мониторят все горячие новости, шутят, разбирают отчеты крупных компаний, а их главная фишка — обзоры APT-группировок, вместе с их проделками.

Все по делу и на постоянной основе.

«Руки-ножницы российского инфосека»SecAtor
Вчера в блоге Tenable появилась любопытная статья про локальное повышение привилегий в PsExec, позволяющее процессу, запущенному не от администратора, перейти в SYSTEM.

Работает для Windows 10 и более младших версий, вплоть до XP. Тестируемые версии PsExec v1.72 и до актуальной v2.2.

PoC прилагается.

https://medium.com/tenable-techblog/psexec-local-privilege-escalation-2e8069adc9c8
Где-то слышал мнение, что у современных анти-чит систем методы обнаружения куда более продвинутые, чем у EDR, представленных сегодня на рынке, или по крайней мере есть, что можно позаимствовать. Справедливости ради стоит отметить, что задачи у EDR куда шире, учитывая, что они не привязаны к конкретным процессам, как в случае с анти-читами.

Поэтому кто заскучал и хочет попробовать чего-то новенького, можно погрузиться в базовый реверс и исследование того, как работают видеоигры и читерский софт.

https://gamehacking.academy/

А вообще любопытная тема для изучения.
В заключение небольшая проверка на олдфагов: ArtMoney помните?)
Неплохой материал про опыт RedTeam при пентесте Active Directory, где автор рассказыват про инструменты и возможности обхода встроенных средств защиты с помощью обфускации, дополнительного шифрования пейлоада и упаковки исполняемого файла несколькими пакерами.

Команде защиты также на вооружение и проверок на своей инфраструктуре.

https://luemmelsec.github.io/Circumventing-Countermeasures-In-AD/

p.s также там есть и другие полезные материалы https://luemmelsec.github.io/
OWASP TOP-10 недостаточно быстро обновляется в современных реалиях и построен на непрозрачных для сообщества метриках — подумали в Wallarm и, используя базу Vulners, выкатили свой OWASP TOP-10 2021, собрав более 4 миллионов бюллетеней безопасности от 144 поставщиков.

https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/
оп
Forwarded from ZeroNights
Новые место и дата ZN 2021 📢

Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.

В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.

Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.

Сайт: https://zeronights.ru/
Вчера в одном профильном чатике возникла любопытная дискуссия на тему того, нужен ли в современных реалиях WAF. Тема изъезженная, и тем не менее всегда есть, что обсудить.

Были озвучены десятки «ЗА» и «ПРОТИВ», и вот пожалуй самые интересные из них:

ЗА
- Виртуальный патчинг WAF позволяет закрыть что-то экстренное, когда у разработчиков на это нет времени.
- Сложно постоянно полагаться на качество кода вашей команды разработки, завтра может произойти что угодно: от ухода всей команды, до каких-то «срочных» нововведений по запросу от менеджмента.
- Не стоит забывать, что появление багов и уязвимостей циклично, одного харденинга будет недостаточно.
- Какой бы «тупой» WAF не был, он всегда мешает, и как следствие — увеличивает стоимость атаки.
- Масса «ЗА» касались мониторинга и быстрого детектирования атак, даже если WAF стоит не в режиме блокирования, оперативная сработка правил позволяет быстрее работать по инцидентам, разбирать L7 DDoS, логи, блокировать ботов и пр. Особенно если никаких других мониторингов нет.
- «Имхо, ваф — маст хэв, как антивирус и Яндекс браузер. То есть некоторым это не нужно, а родителям поставлю.»
- Для малого и среднего бизнеса, где нет ИБ подразделения, либо с его небольшой численностью, будет оптимальным решением какое-нибудь недорогое облачное коробочное решение, для энтерпрайза этого скорее всего будет недостаточно.

ПРОТИВ
- Внедрение WAF приведет к тому, что на багам перестанут уделять должное внимания со стороны разработки, а менеджмент расслабится.
- Если основная задача установки WAF связана с защитой API, лучше уделить внимание хенделингу API, будет дешевле. Или воспользоваться каким-то универсальным облачным решением, например CloudFlare.
- Построение полноценного CI/CD с должным уровнем код ревью и хорошими тестами (включая SAST, DAST, OAST и пр.) будет намного эффективнее WAF, но безусловно трудозатратнее.
- WAF требует много человеческих ресурсов при внедрении и сопровождении, может фолзить, влиять на стабильность защищаемых приложений.
- На практике вы сталкнетесь с тем, что WAF почти всегда будет «ломать» логику ваших приложений. Нужно быть готовым с этим работать.

АЛЬТЕРНАТИВНЫЕ МНЕНИЯ
- Конечно же ни одна дискуссия не обходится без обсуждения opensorce, здесь не исключение. Например посмотреть в сторону Naxsi под Nginx или ModSecurity.
- За годовую стоимость, сопоставимую с закупкой WAF у популярного вендора, можно создать/нанять «крутую» команду безопасников и используя opensource решения, реализовать отличные контроли, тесты, дашборды, запустить bug bounty, выстроить процессы со своей командой разработки.

ИТОГ
Как вы понимаете универсального решения нет, все индивидуально и сильно зависит от потребностей, возможностей и рисков.

БОНУС
Ребята из Wallarm опубликовали чеклист с актуальными критериями, помогающими выбрать современное решение для защиты ваших приложений и API.

ССЫЛКИ
Старт дискуссии> https://tttttt.me/cb_sec/1405
Wallarm Protection Evaluation Checklist> https://www.wallarm.com/resources/waf-and-api-protection-evaluation-checklist

P.S Кстати, ребята собираются каждую субботу в Clubhouse (формат еще определяется) и трут за безопасность, при желании всегда можно поучаствовать в дискуссии.
Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование.

Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx.

Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/
Три> https://habr.com/ru/company/cloud4y/blog/547164/
Forwarded from CyberSecurity in Russian | Channel (Sergey Belov)
001_07.03.21 - Account Hijacking