😈 Malicious use of OAuth applications.

• Network Response Analysis;
• Endpoint Shapes Discovery;
- Common Shapes in OAuth 2.0;
- Application-Specific Shapes;
• OAuth 2.0 Vulnerabilities;
- Open Redirects and Token Theft;
- URL-Parameter-Based Open Redirect;
- Referer-Based Open Redirect;
- Exploiting Redirect Chains;
- Long-Lived Tokens;
- Insecure Redirects;
- Case 1: Attack with URL Parameter;
- Prevention: Method 1 - Use White-Listed Domain;
- Lack of State Check in OAuth;
- Case 1: Attack with State Parameter;
- Prevention: Method 1 - Use State Randomize Parameter;
• Creating Malicious OAuth Applications;
• OAuth Security Checklist;
• AUTHENTICATOR Pattern.

#OAuth #devsecops

👩‍💻 Linux: перенаправление.

• Если вы уже освоились с основами терминала, возможно, вы уже готовы к тому, чтобы комбинировать изученные команды. Иногда выполнения команд оболочки по одной вполне достаточно для решения определенной задачи, но в некоторых случаях вводить команду за командой слишком утомительно и нерационально. В подобной ситуации нам пригодятся некоторые особые символы, вроде угловых скобок.

• Для оболочки, интерпретатора команд #Linux, эти дополнительные символы — не пустая трата места на экране. Они — мощные команды, которые могут связывать различные фрагменты информации, разделять то, что было до этого цельным, и делать ещё много всего. Одна из самых простых, и, в то же время, мощных и широко используемых возможностей оболочки — это перенаправление стандартных потоков ввода/вывода. В этой статье вы узнаете:

- Три стандартных потока ввода/вывода;
- Перенаправление стандартного потока вывода;
- Перенаправление стандартного потока ввода;
- Перенаправление стандартного потока ошибок.

➡️ https://selectel.ru/blog/tutorials/linux-redirection/

• В качестве дополнения, к посту подгрузил полезную шпаргалку, которая поможет освоить данную тему.

#Cron #Linux #Unix #CheatSheet

⚡️ ИА "Панорама" сообщили о реальной причине падения Рунета))

#Юмор

📦 Hack The Box. Учимся взлому.

• Полезная и большая подборка прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста.

➡️ https://0xdf.gitlab.io

• Напомню, что ранее я уже публиковал подборку материала с прохождением HTB на русском языке: https://xn--r1a.website/it_secur/1109

#Пентест #CTF

🖥 Как создавалась USB технология.

• Сегодня каждый может без каких либо трудностей подключить к своему ПК фотоаппарат, принтер, сканер или любое другое устройство. Но в начале 1990-х годов законектить периферийное устройство к ПК была задачей не из лёгких.

• До появления USB подключение внешних устройств нередко было проблематично. Пользователям иногда приходилось вскрывать компьютер и добавлять аппаратное обеспечение, чтобы получить необходимый коммуникационный порт.

• Универсальная последовательная шина, выпущенная в 1996 году компанией Intel, упростила ситуацию. Теперь порты USB являются стандартными для персональных компьютеров и встроены во многие электронные устройства, такие как смартфоны, электронных книги и игровые приставки.

• Прежде чем приступить к разработке USB, группа разработчиков изучила то, что уже было разработано. Инженеры рассмотрела технологии, подобные Ethernet, аудиоинтерфейсы, GeoPort от Apple и IEEE 1394 — известный также как стандарт Firewire. Но ни одна с доступных технологий не обладала всеми характеристиками, которые искала команда. В частности, инженеры хотели получить что-то недорогое, удобное в использовании, способное заряжать периферийные устройства и обеспечивающее большую пропускную способность. Чтобы снизить производственные затраты, инженеры разработали USB с тонким четырехпроводным кабелем длиной до 5 метров. Один конец кабеля имел разъем A, который подключался к компьютеру; разъем B на другом конце подключался к внешнему устройству.

• В то время компьютеры, как правило, не обеспечивали питание таких внешних устройств. Большинство периферийного оборудования должно было быть одновременно подключено к розетке при подключении к ПК. Но USB позволил компьютеру обеспечить необходимый заряд.

• Для названия команда искала что-то такое, с чем люди могли бы ассоциировать себя, а также очень хотели, чтобы оно описывало технологию. Инженеры выбрали слово «автобус», потому что оно было одновременно техническим термином (шина используется для передачи данных в компьютере) и узнаваемым. В сознании большинства людей автобусы — это транспортные средства, доставляющие пассажиров из пункта А в пункт Б, сказал один из разработчиков USB.

• Команда объявила о своей первой разработке в 1995 году. При скорости 12 мегабит в секунду USB 1.0 был «быстрее, чем все, что обычно подключается к задней панели ПК. Однако команда столкнулась с проблемой: скорость 12 Мбит/с была слишком быстрой для компьютерных мышек, джойстиков, клавиатур и других аксессуаров с неэкранированными кабелями. Инженеры решили эту проблему, организовав для USB 1.0 поддержку связи на скорости 1,5 Мбит/с.

• Такой подход позволил USB работать на низкой скорости для недорогих периферийных устройств с неэкранированными кабелями и на высокой скорости для устройств с экранированными кабелями, таких как принтеры и дисководы для флоппи-дисков.

• USB 1.1, выпущенный в 1996 году, стал популярным только в 1998 году. Всеобщая известность настигла его после демонстрарации на выставке COMDEX в Лас-Вегасе. На пресс-конференции команда Intel подключила 127 периферийных устройств к одному компьютеру.

• Задержка между выпуском USB 1.1 в 1996 году и до момента настоящей популярности, вполне объяснима, поскольку Microsoft Windows 98, которая вышла в июне 1998 года, была первой операционной системой, поддерживающей USB. Двумя месяцами позже компания Apple выпустила свой iMac, в котором отсутствовал дисковод для дискет, но была пара портов USB. Хотя Apple не входила в число компаний, работавших над проектом USB, но компания помогла сделать эту технологию популярной.

• С тех пор появилось еще три поколения USB. Самое последнее, USB4, было выпущено в 2019 году.

#Разное

🌍 Top 10 web hacking techniques of 2023.

• В файле ниже собран весь материал, который был опубликован в этом посте.

➡️ Источник: @hadess_security

#web #hack

👨‍💻 Культовый ноутбук без жесткого диска. Toshiba T1100.

• Ноутбук, предназначенный «для мобильных профессионалов», до 8 часов автономной работы, по цене 1899 долларов… в 1985 году. Как такое возможно?

• В 80-х компьютеры уже стали важной частью повседневной жизни, и, очевидно, было приятно иметь портативный компьютер, который можно взять с собой, со всеми файлами, документами и личными данными. В то время мобильные компьютеры были не «портативными», а «переносными», и причина банальна, первый портативный компьютер, Osborne I, выглядел примерно так: https://en.wikipedia.org/wiki/Osborne_1

• Эта машина, выпущенная в 1981 году, стала, к слову, первым коммерчески успешным мобильным компьютером, но, конечно, в реальности при весе в 24,5 фунта (11,1 кг) она была далеко не портативной. Но прогресс шел дальше, и уже в 1985 году инженеры Toshiba сделали первый ноутбук, который действительно легко помещался в сумке. Как им это удалось? Решающее значение имели несколько компонентов:

1⃣ Дисплей. Тяжелый и громоздкий ЭЛТ был заменен тонким и легким ЖК-дисплеем. Эти дисплеи отличались медленной частотой обновления и низкой контрастностью, но для работы с документами этого было достаточно.

2⃣ Подсветка экрана. Какая подсветка? ЖК-дисплей Toshiba T1100 вообще не имеет подсветки — пользователь должен сам позаботиться о достаточном внешнем освещении. В наши дни это решение может показаться странным, но в 80-х и 90-х годах такая практика была довольно распространенной для наручных часов, КПК Psion или Palm.

3⃣ Жесткий диск? Жесткого диска в Toshiba T1100 нет вообще. Это решение может показаться странным в наши дни, но во времена MS-DOS было обычным делом иметь ПК с одним или двумя дисководами для дискет. Жесткие диски были громоздкими и дорогими, а размер программного обеспечения был достаточно мал, чтобы запускать его с дисковода гибких дисков.

• Со всеми этими изменениями Toshiba удалось создать компьютер, который не только обладал достаточно хорошими характеристиками для того времени, но также был портативным и более или менее доступным.

• И получился действительно удачный продукт — Т1100 стал не только «первым в мире массовым портативным компьютером», но и был клонирован в СССР под названием Электроника МС 1504. По сути, это был единственный ноутбук в истории, который производился в Советском Союзе. Экземпляр Toshiba T1100 помещен в лондонском музее дизайна и искусств Виктории и Альберта, и этот компьютер действительно заслуживает этого.

• Что касается аппаратной части ноутбука, то сегодня она выглядит не очень впечатляюще, но для 1985 года T1100 был достаточно хорош: процессор 8086 с частотой 4,7 МГц (7,16 МГц для T1100 Plus), 256 КБ ОЗУ (640 КБ для T1100 Plus), ЖК-дисплей 640x200, опциональный модем на 1200 бит/с и два 3,5-дюймовых флоппи-дисковода по 720 Кбайт. T1100 имел сравнительно небольшой вес и потрясающую возможность автономной работы в течение 6–8 часов — даже в наше время не каждый ноутбук на такое способен. Это особенно впечатляет, потому что в ноутбуке установлена NiCd батарея, литиевые батареи еще не получили широкого распространения.

#Разное

⚙️ ThievingFox.

• ThievingFox — инструмент для удалённого дампа учетных данных из различных менеджеров паролей и утилит Windows.

➡️ https://github.com/Slowerzs/ThievingFox/

• Всю необходимую информацию можно найти в блоге автора: https://blog.slowerzs.net/posts/thievingfox/

#Пентест #tools

• В дополнение к посту выше. Pandora — инструмент для извлечения учетных данных из менеджеров паролей. Поддерживает 14 программ с 18 различными реализациями (к примеру, мы можем сдампить данные из десктопного приложения и из расширения браузера одного и того же продукта).

➡ Описание и другая информация: https://github.com/efchatz/pandora

#Пентест #ИБ #Tools

🖥 Всё, что вы хотели знать о МАС адресе.

• Всем известно, что это шесть байт, обычно отображаемых в шестнадцатеричном формате, присвоены сетевой карте на заводе, и на первый взгляд случайны. Некоторые знают, что первые три байта адреса – это идентификатор производителя, а остальные три байта им назначаются. Известно также, что можно поставить себе произвольный адрес. Многие слышали и про "рандомные адреса" в Wi-Fi. Давайте разберемся, что это такое.

➡️ https://habr.com/post/483670/

#Сети

Официально взломанный iPhone от Apple

Гергели Калман (Gergely Kalman) опубликовал на своей странице в X/Twitter взломанный iPhone, который получил от Apple в рамках Security Research Device Program:
🍏 Устройство поставляется с набором стикеров и мануалом по использованию.
🍏 Смартфон внешне отличается маркировкой с предупреждением о конфиденциальности и номером телефона, на который необходимо позвонить в случае утери телефона.
🍏 iPhone с разблокированной iOS позволяет ставить неподписанные Apple приложения и проще проводить поиск уязвимостей в системе.

#apple

🌍 Получаем максимум информации из браузера.

• Пароли, история браузера и загрузок, куки, список расширений и реквизиты банковской карты. Всё это Вы можете экспортировать через инструмент HackBrowserData, который имеет открытый исходный код и кроссплатформенность. Инструмент поможет Вам выгрузить все перечисленные данные из 18 браузеров в Linux, MacOS и Windows.

• Все доступные параметры и команды можно посмотреть стандартным способом:

.\hack-browser-data.exe -h

➡ Ссылка на загрузку: https://github.com/moonD4rk/

#ИБ

Очередной понедельник... Доброе утро...🫠

🫠 Как мошенники научились подтверждать личность в банке через видеосвязь.

• Под видом владельца они запрашивают смену номера из-за потери смартфона с сим-картой и затем подтверждают операцию видеозвонком с подменой лица.

• Появился отзыв, что один из клиентов Тинькофф Банка так потерял доступ к счёту с 200 тысячами рублей. Но банк эту информацию не комментировал.

➡️ Подробнее о схеме: https://habr.com/post/791074/

UPD: Банк предоставил следующую информацию (доступно по ссылке выше, в комментариях):

Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.

#Новости #ИБ #ИИ

📱Ушла эпоха. Nokia - всё.

• 1 февраля, перестал работать официальный сайт Nokia со смартфонами бренда. Теперь, если перейти по адресу nokia.com/phones, вас будет редиректить на сайт hmd.com/en_int. На этом сайте отныне будут продаваться смартфоны, планшеты и наушники компании HMD, которая ранее выпускала технику под брендом Nokia.

• Сейчас на сайте HMD все еще можно найти смартфоны Nokia. Устройства культового бренда навсегда исчезнут в 2026 году — с этого времени Nokia перестанет существовать как бренд смартфонов и останется с нами как производитель телекоммуникационного оборудования.

• В прошлом году Nokia впервые за 60 лет сменила логотип, чтобы не ассоциироваться с производством телефонов.

➡️ Источник.

#Новости #Разное