Forwarded from Пакет Безопасности
'OR 1'='1
Что-то у меня за новогодние праздники подкопилось очень много полезной информации для коллег по цеху, поэтому всем остальным на этой неделе придется еще раз задержать дыхание и немного потерпеть.
В одном из прошлых своих постов я упоминал (это было тут, в контексте премии пентестеров), что изучение отчетов/репортов достаточно сильно расширяет мышление тех, кто трудится в Blue Team и углубляет их познания в специфике Red Team. Так вот, мнение своё я еще не поменял, поэтому всем безопасникам всё также советую почитывать что-то подобное, чтобы быть в курсе актуальных методов эксплуатации уязвимостей, того, как мыслит атакующий и что уже было "пробито".
Собственно, делюсь с вами очень крутым репозиторием в GitHub (ну а где еще), где собраны и регулярно обновляются подборки с теми самыми репортами от этичных хакеров. Авторы заботливо всё отсортировали по типам уязвимостей и даже по отдельным баг-баунти программам различных компаний. Так что вэлкам – сохраняем и распространяем. Можете даже взять себе за привычку регулярно что-то оттуда почитывать по несколько отчётов в день/неделю.
#Полезное
Твой Пакет Безопасности
Что-то у меня за новогодние праздники подкопилось очень много полезной информации для коллег по цеху, поэтому всем остальным на этой неделе придется еще раз задержать дыхание и немного потерпеть.
В одном из прошлых своих постов я упоминал (это было тут, в контексте премии пентестеров), что изучение отчетов/репортов достаточно сильно расширяет мышление тех, кто трудится в Blue Team и углубляет их познания в специфике Red Team. Так вот, мнение своё я еще не поменял, поэтому всем безопасникам всё также советую почитывать что-то подобное, чтобы быть в курсе актуальных методов эксплуатации уязвимостей, того, как мыслит атакующий и что уже было "пробито".
Собственно, делюсь с вами очень крутым репозиторием в GitHub (ну а где еще), где собраны и регулярно обновляются подборки с теми самыми репортами от этичных хакеров. Авторы заботливо всё отсортировали по типам уязвимостей и даже по отдельным баг-баунти программам различных компаний. Так что вэлкам – сохраняем и распространяем. Можете даже взять себе за привычку регулярно что-то оттуда почитывать по несколько отчётов в день/неделю.
#Полезное
Твой Пакет Безопасности
⚡12
Forwarded from true_security
Аналог sharphound и других сборщиков для bloodhound (и не только), но собирает информацию по протоколу Active Directory Web Services (ADWS) через SOAP запросы.
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
GitHub
GitHub - FalconForceTeam/SOAPHound: SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active…
SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active Directory environments via the Active Directory Web Services (ADWS) protocol. - FalconForceTeam/SOAPHound
❤🔥1
1' Мерч, мерч, мерч --
Сейчас компании во время мероприятий чего только не делают в виде мерча с рекламой своих мероприятий. От верхней одежды до практически штанов и трусов. Но надо ли нам это? И да, и нет. Эту проблему подчеркнул у себя Алексей Лукацкий. Понятно что с его опытом посещения мероприятий по всему миру уже сложно чем-то удивить.
А если спуститься на наш, более человечный уровень. То что бы радовало ваш глаз в контекста мерча?Тонкая подводка, не правда ли?) Ещё с прошлого года корпел над идей своего мерча, который в будущем станет неким брендом в ИБ комьюнити. Уже сделали первую идею мерча, которую можно охарактеризовать, как: "Это было пиздец, как смело" )).
Напишите свои идеи по поводу мерча, можно в чат, можно в ЛС @szybnev. Все идеи приветствуются. Если есть реальный пример или просто референс с мероприятий, тем более делитесь. Сделаем мерч под желания комьюнити!
🌚 @poxek
Сейчас компании во время мероприятий чего только не делают в виде мерча с рекламой своих мероприятий. От верхней одежды до практически штанов и трусов. Но надо ли нам это? И да, и нет. Эту проблему подчеркнул у себя Алексей Лукацкий. Понятно что с его опытом посещения мероприятий по всему миру уже сложно чем-то удивить.
А если спуститься на наш, более человечный уровень. То что бы радовало ваш глаз в контекста мерча?
Напишите свои идеи по поводу мерча, можно в чат, можно в ЛС @szybnev. Все идеи приветствуются. Если есть реальный пример или просто референс с мероприятий, тем более делитесь. Сделаем мерч под желания комьюнити!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤🔥2
A Practical Guide to PrintNightmare in 2024
#windows
Хотя теоретически проблема PrintNightmare и ее разновидностей была решена корпорацией Microsoft, она продолжает влиять на организации до сих пор, в основном из-за довольно запутанных групповых политик и настроек. В этой статье автор хочет пролить свет на эти проблемы с настройками и дать четкое руководство по их устранению.
🌚 @poxek
#windows
Хотя теоретически проблема PrintNightmare и ее разновидностей была решена корпорацией Microsoft, она продолжает влиять на организации до сих пор, в основном из-за довольно запутанных групповых политик и настроек. В этой статье автор хочет пролить свет на эти проблемы с настройками и дать четкое руководство по их устранению.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Forwarded from Cybred
Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включая руководителей, сотрудников юридического отдела и специалистов по кибербезопасности.
Статья от Hadess про вредоносные OAuth-приложения, по мотивам атаки https://blog.devsecopsguides.com/malicious-use-of-oauth-applications.
Скрытые вектора https://portswigger.net/research/hidden-oauth-attack-vectors
Кликабельный чеклист для пентеста https://www.syncubes.com/oauth2_threat_model
Базовые статьи:
— OAuth 2.0 Hacking Simplified — Part 1 — Understanding Basics
— OAuth 2.0 Hacking Simplified — Part 2 — Vulnerabilities and Mitigation
— Finding and Exploiting Unintended Functionality in Main Web App APIs
❤3
Forwarded from SecuriXy.kz
Apache Tomcat HTTP Request Smuggling (Client-Side Desync)
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
🔥9
Forwarded from infosec
• Ущерб от вчерашнего массового сбоя в работе доменной зоны RU мог составить примерно 200 млн рублей, посчитали в Центре компетенций НТИ. https://xn--r1a.website/it_secur/1448
• Как объясняют эксперты, речь идет о недополученной прибыли из-за невозможности осуществить покупки в онлайн-магазинах и сервисах.
#Разное
• Как объясняют эксперты, речь идет о недополученной прибыли из-за невозможности осуществить покупки в онлайн-магазинах и сервисах.
#Разное
❤2
Всю прошлую неделю были посты про Windows и прятки в ней против blue team. Подумал, что ущемил Яблочников
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰10❤3👏1
Калькулятор прав пользователя Linux
#полезное
💪 Я иногда туплю, когда не понимаю какие надо циферки писать, при разграничении прав в докере, чтобы он был секурнее. Думаю не у одного такая проблема. Поэтому нашёл удобную штуку под названием Chmod Calculator. Смысл в том, что вы тыкаете чекбоксы что вам нужно и он сам считает численное и буквенное значения прав. Полезная штука для многих, особенно для тех у кого нет в голове чипа Илона калькулятора)
➡️ https://chmod-calculator.com/
🌚 @poxek
#полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚16🔥2🤩2
Forwarded from Positive Technologies
Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.
Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.
🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.
• Темы докладов принимаются до 15 марта
• Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
• Подавать заявку необходимо лично
До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
Что, если я скажу вам, что многие API используют нестандартные пользовательские HTTP-заголовки для управления бизнес-логикой и поведением?
Одним из простых способов увидеть такие заголовки в Burp, является применение шаблона для Bambdas:
if( !requestResponse.hasResponse() )
{
return false;
}
String[] standardHeaders = {
"accept-patch",
"accept-ranges",
"access-control-allow-credentials",
"access-control-allow-headers",
"access-control-allow-methods",
"access-control-allow-origin",
"access-control-expose-headers",
"access-control-max-age",
"age",
"allow",
"alt-svc",
"cache-control",
"clear-site-data",
"connection",
"content-disposition",
"content-encoding",
"content-language",
"content-length",
"content-location",
"content-range",
"content-security-policy",
"content-transfer-encoding",
"content-type",
"cross-origin-embedder-policy",
"cross-origin-opener-policy",
"cross-origin-resource-policy",
"date",
"delta-base",
"etag",
"expect-ct",
"expires",
"feature-policy",
"host",
"im",
"keep-alive",
"last-modified",
"link",
"location",
"pragma",
"proxy-authenticate",
"public-key-pins",
"referrer-policy",
"retry-after",
"server",
"set-cookie",
"strict-transport-security",
"tk",
"trailer",
"transfer-encoding",
"upgrade",
"vary",
"via",
"warning",
"www-authenticate",
"x-content-type-options",
"x-frame-options",
"x-permitted-cross-domain-policies",
"x-xss-protection"
};
List headersList = Arrays.asList(standardHeaders);
var headers = requestResponse.response().headers();
List unexpectedHeaders = new ArrayList();
for( var header : headers ) {
var headerName = header.name().toLowerCase();
if( !headersList.contains( headerName ) ) {
unexpectedHeaders.add( headerName );
}
}
if( unexpectedHeaders.size() > 0 ) {
requestResponse.annotations().setHighlightColor( HighlightColor.GRAY );
requestResponse.annotations().setNotes(
"Non-standard Headers: " + String.join( ",", unexpectedHeaders )
);
}
else {
// Maybe don't trample on existing Notes in the future??
requestResponse.annotations().setHighlightColor( HighlightColor.NONE );
requestResponse.annotations().setNotes("");
}
return true;
Подробнее про составление этого шаблона и возможности по его кастомизации читайте тут.
А если вы ничего не знаете о фильтрах Bambdas, то рекомендую вам ознакомиться со статьей о написании фильтров Bambda Like a Boss. В ней подробно описано, что это такое, почему вас это должно заинтересовать и как начать с этим работать.
#web #tools #burp
Please open Telegram to view this post
VIEW IN TELEGRAM
А что вы знаете о специфичных атаках? Вот мы с вами разбирали Linux, Windows, Mac OS. Но мы же с вами помним, что обычные люди ставят обычные пароли, тем более одинаковые. Как мы обычно их находили пароли от Доменного Админа? Принтеры, IoT, веб-панели видеорегистраторов камер и ещё 99 вариантов)
А что если поискать пароли от учёток в сохраненных паролях браузера. Тем более зачастую шифрование там не очень. Стоит попробовать)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PurpleBear (Vadim Shelest)
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from PurpleBear (Vadim Shelest)
Frameless BITB
По этой причине пытливый ум одного исследователя придумал тоже самое, только без
Обычно на проектах мы использовали другую технику BITB noVNC в киоске, с небольшой кастомизацей, которая по моему мнению намного проще и эффективнее, но мне понравился претекст с использованием Calendly👍
PS: Лайк, если хочется увидеть отдельную заметку про BITB noVNC🤙
#phishing #BITB
Browser in The Browser - хорошо знакомая техника получения учетных данных для первоначального доступа во время проведения фишинговых компаний, придуманная mr.d0x в 2022 году. Суть этой техники заключается в создании на фишинговой странице HTML iframe элемента, который имитирует редирект на страницу логина Microsoft для OAth2.0 авторизации в новом окне браузера. Эта техника будет работать при отсутствии X-Frame-Options: "DENY"/Content-Security-Policy: frame-ancestors "self"По этой причине пытливый ум одного исследователя придумал тоже самое, только без
iframe. Имитация "нового окна браузера" для логина Microsoft создается с помощью подстановки HTML, CSS с прокси перед проксей с Evilginx 🙈 и JS который добавляет эффект правдоподобности, а также фоном фишинговой страницы в Shadow DOM. Так же автор опубликовал код на github и подробную видео инструкцию с деталями использования на примере O365 Microsoft.Обычно на проектах мы использовали другую технику BITB noVNC в киоске, с небольшой кастомизацей, которая по моему мнению намного проще и эффективнее, но мне понравился претекст с использованием Calendly👍
PS: Лайк, если хочется увидеть отдельную заметку про BITB noVNC🤙
#phishing #BITB
GitHub
GitHub - waelmas/frameless-bitb: A new approach to Browser In The Browser (BITB) without the use of iframes, allowing the bypass…
A new approach to Browser In The Browser (BITB) without the use of iframes, allowing the bypass of traditional framebusters implemented by login pages like Microsoft and the use with Evilginx. - wa...
🔥12❤5😍3👾1
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:
🔗 https://freedium.cfd/<URL>
🔗 https://medium-forall.vercel.app/
#medium #premium #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤2😈2
Forwarded from Mobile AppSec World (Yury Shabalin)
Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.