Как прошли ваши выходные?

Кстати, это достаточно популярная проблема для многих компаний, когда продовые данные распиханы по всем средам для удобства разработки и тестирования. А потом, когда начинают патчить в проде, забывают сделать то же самое для dev/stg. Иногда есть среды, о которых узнают только после следующего репорта 🙈.

В итоге багхантер может сделать х2 на одной уязвимости 💁‍♂️

Подобный случай — отличный повод для давления на разработчиков с целью анонимизации данных на тестовых средах. Ведь даже если вы не успели зафиксить проблему в test/stg, уязвимость для вас будет стоить дешевле.

Гугл запускает новую волну clickjacking хакеров.
Я то конечно понимаю, что рисёрчер вроде как не с нулевой репутацией, и действительно догадывался о каких-то цепочках. Но те кто прочитает его твит, пойдут с большим усилием запихивать кликджекинг алерты с бесплатных онлайн сервисов, тупо думая что нашли кнопку «бабло» 🤦🏻‍♂️

По следам последнего поста можно выйти на очень крутой доклад от Lyra Rebane.
Причем сама история публиковалась ранее тут. Но автор собрал очень круту презу для Bsides Tallinn, и я гарантирую что вы потратите 30 минут не зря послушав его повествование, и то как находил эти цепочки уязвимостей. Тот случай когда буквально можно понаблюдать за ходом мысли.

Вчера внезапно получаю такое письмо и моментально теряю навык сна. Всё потому, что я понятия не имею, о какой компании идет речь. Не знаю, какой именно у них случился инцидент, но точно понимаю, что это мой IP-адрес, который они нашли в логах аж с февраля! Я уже начал представлять, как буду составлять алиби и объяснять, что, вообще-то, ничего не делал и катался на сноуборде в это время 🤣

Но потом резко вспомнил, что занимался ресерчем в начале года. Много сканил. И, вероятнее всего, нашел их уязвимый сервис, но даже не знал, что у ребят есть bug bounty. Так баг и пролежал почти год, пока кто-то другой не зарепортил его. Но повезло, что это инцидент в формате bug bounty, а не в формате data breach 🙊

Человек может уехать из Ижевска, но Ижевск из человека — никогда.

Каждый раз, когда покупаю что-то “недоступное”, испытываю внутренний восторг. Новые кроссовки, на которые я мог копить три стипендии, — кайф. Билет на концерт группы, которую видел только по MTV или A-One, — да это вообще сравнимо с полётом в космос. Вознаграждение в XX.XXX$ от крупной компании — дяденьки, а вы точно нулями не ошиблись? 🙊
Интересно, это у меня одного такой imposter syndrome? 🤨

Наконец-то добрались руки чтоб записать этот выпуск. Осталось найти время, собрать и выложить .
Кто угадает гостя?
Есть небольшая подсказка - Сәләм или KONNICHIWA 😎

В годы моего детства был дефицит, и понимание материальных ценностей формировалось без усилий. Надо тебе в интернете зайти по Dial-Up на 30 минут — откладываешь неделю деньги с обедов.
Ценность многих вещей была очень понятной и очевидной.
И вот теперь новому поколению надо как-то эту ценность вложить. Решили начать с простого — с PS5 🙈. Старательно откладывая монетки и реварды за успешно сданные экзамены, удалось скопить на полноценную плойку. И это в 7 лет! Теперь надо какую-то следующую цель поставить. Есть идеи?

Ну и не будем забывать, ради чего все мы тут собрались. Полезный пост о том, как можно эксплуатировать SSRF. Целиком пост можно найти здесь. Причём автор регулярно раскрывает всякие приёмчики.

В этот раз ему удалось выцепить SSRF в URL — обычное дело. Но дальше он пнул AWS Lambda Function через:

http://localhost:9001/2018-06-01/runtime/invocation/next

И уже через неё, используя github.com/assetnote/surf, он выцепил какой-то очень внутренний Swagger с возможностью выполнять неавторизованные запросы. В итоге из URL SSRF привёл к неавторизованному чтению PII из внутреннего сервиса.

Лично я не считаю подобное постэксплуатацией, так как команда компании подобный риск вряд ли найдёт (или просто не захочет признать это).

В следующий раз, когда ваш разработчик будет рассказывать, что для внутренних сервисов ему лень прикручивать авторизацию, просто скиньте ему этот твит, объясняющий шаги эксплуатации. Никакого rocket science.

В этот раз придётся начать "пятничный конкурс" немного раньше. Причина проста — кроссовок на всех нас может не хватить 😁
Стоит признать, что схема весьма красивая и сложно распознаваемая обычным обывателем. Ну и кому не нужны New Balance 530?!

Давайте поднажмём, поможем ребятам распродать склад и поддержим их сервис мгновенной доставки 😁
Сайт кросовок.
Сайт доставки.
Правила остались прежними. Победитель получивший рута - получает пиццу 🥳

PS: Кстати, домены у ребят весьма интересные. Особенно сильно мне нравится 3ий в списке.

Мне тут Августина подкинула интересный “умный фазер” от ребят из всем известного сканера Акунетикс.
Господа зацепили LLM-модели (через Ollama) и ffuf вместе. И, кажется, получился очень хороший контекстно-зависимый фазер. Идея не нова, и подключать какой-то LLM к фазеру/сканеру теперь кажется логичной идеей. Правда, есть одно “но”: меня в подобных ситуациях всегда терзает сомнение — а не пропустил ли он что-то важное, что я бы точно нашёл сам, не пытаясь играть в “оптимизацию” и эффективность.

Но, возможно, я просто старовер. Короче, пользуйтесь: https://github.com/Invicti-Security/brainstorm

Последнее время стало очень много вопросов по поводу моей квартиры.
Оно и понятно. Я живу там же где и жил, и никуда не переехал. А с момента начала процедуры банкротства застройщика прошло больше года.
Постарался изложить понятным языком всю ситуацию не только с квартирой, но и с ипотекой. А то многие интересовались и подбадривали. Но кто 25 лет в Ижевске жил, тот в Германии не смеется 😁😉
https://telegra.ph/Kak-tam-dela-s-kvartiroj-Porosyonok-12-01

Надеюсь, этот выпуск вдохновит многих из вас. Ведь наш гость совершил невероятный и очень сложный путь(без релокейтов и смузи). Мы поговорили о том, как это было, и о том, чем могут быть полезны сертификации в ИБ для специалистов.
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶

Как и обещал, залил часть выпусков на Spotify.
Надеюсь, теперь вопросы аудиальной части подписчиков канала исчезнут😁️️️️️️

Писали что сегодня Павлу вернули технику, которую конфисковала французская полиция. И видимо первым делом он сделал опасный пул реквест. Теперь комментарии к старым публикациям приказали долго жить, и дело точно не в настройках канала или Discuss чата. При том что чат @pigPeter_chat был и остается функционирующим. Так что если вам хотелось выговориться, то пишите прямо туда :)

Кажется Orange Tsai смог доехать до blackhat EU и привезти туда рассказ, как с помощью Йены 💹💴 можно раскопать кучу байпасов под весьма серьезные уязвимости.
Слайды доступны по ссылке - https://worst.fit/assets/EU-24-Tsai-WorstFit-Unveiling-Hidden-Transformers-in-Windows-ANSI.pdf

Пример одной такой уязвимости в Excel с любимой NTLM аутентификацией - https://worst.fit/worstfit/Open-With/excel/

Ps: А батя Джэймс уже добавляет идею в ActiveScan++