Forwarded from Cybred
Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включая руководителей, сотрудников юридического отдела и специалистов по кибербезопасности.
Статья от Hadess про вредоносные OAuth-приложения, по мотивам атаки https://blog.devsecopsguides.com/malicious-use-of-oauth-applications.
Скрытые вектора https://portswigger.net/research/hidden-oauth-attack-vectors
Кликабельный чеклист для пентеста https://www.syncubes.com/oauth2_threat_model
Базовые статьи:
— OAuth 2.0 Hacking Simplified — Part 1 — Understanding Basics
— OAuth 2.0 Hacking Simplified — Part 2 — Vulnerabilities and Mitigation
— Finding and Exploiting Unintended Functionality in Main Web App APIs
❤3
Forwarded from SecuriXy.kz
Apache Tomcat HTTP Request Smuggling (Client-Side Desync)
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
Recently, a critical vulnerability was discovered in Apache Tomcat, which was assigned the code CVE-2024-21733
https://hackerone.com/reports/2327341
Vulnerable:
from 8.5.7 through 8.5.63
from 9.0.0-M11 through 9.0.43
Patched: 8.5.64 and 9.0.44
#CVE #Tomcat
🔥9
Forwarded from infosec
• Ущерб от вчерашнего массового сбоя в работе доменной зоны RU мог составить примерно 200 млн рублей, посчитали в Центре компетенций НТИ. https://xn--r1a.website/it_secur/1448
• Как объясняют эксперты, речь идет о недополученной прибыли из-за невозможности осуществить покупки в онлайн-магазинах и сервисах.
#Разное
• Как объясняют эксперты, речь идет о недополученной прибыли из-за невозможности осуществить покупки в онлайн-магазинах и сервисах.
#Разное
❤2
Всю прошлую неделю были посты про Windows и прятки в ней против blue team. Подумал, что ущемил Яблочников
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰10❤3👏1
Калькулятор прав пользователя Linux
#полезное
💪 Я иногда туплю, когда не понимаю какие надо циферки писать, при разграничении прав в докере, чтобы он был секурнее. Думаю не у одного такая проблема. Поэтому нашёл удобную штуку под названием Chmod Calculator. Смысл в том, что вы тыкаете чекбоксы что вам нужно и он сам считает численное и буквенное значения прав. Полезная штука для многих, особенно для тех у кого нет в голове чипа Илона калькулятора)
➡️ https://chmod-calculator.com/
🌚 @poxek
#полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚16🔥2🤩2
Forwarded from Positive Technologies
Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.
Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.
🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.
• Темы докладов принимаются до 15 марта
• Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
• Подавать заявку необходимо лично
До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
Что, если я скажу вам, что многие API используют нестандартные пользовательские HTTP-заголовки для управления бизнес-логикой и поведением?
Одним из простых способов увидеть такие заголовки в Burp, является применение шаблона для Bambdas:
if( !requestResponse.hasResponse() )
{
return false;
}
String[] standardHeaders = {
"accept-patch",
"accept-ranges",
"access-control-allow-credentials",
"access-control-allow-headers",
"access-control-allow-methods",
"access-control-allow-origin",
"access-control-expose-headers",
"access-control-max-age",
"age",
"allow",
"alt-svc",
"cache-control",
"clear-site-data",
"connection",
"content-disposition",
"content-encoding",
"content-language",
"content-length",
"content-location",
"content-range",
"content-security-policy",
"content-transfer-encoding",
"content-type",
"cross-origin-embedder-policy",
"cross-origin-opener-policy",
"cross-origin-resource-policy",
"date",
"delta-base",
"etag",
"expect-ct",
"expires",
"feature-policy",
"host",
"im",
"keep-alive",
"last-modified",
"link",
"location",
"pragma",
"proxy-authenticate",
"public-key-pins",
"referrer-policy",
"retry-after",
"server",
"set-cookie",
"strict-transport-security",
"tk",
"trailer",
"transfer-encoding",
"upgrade",
"vary",
"via",
"warning",
"www-authenticate",
"x-content-type-options",
"x-frame-options",
"x-permitted-cross-domain-policies",
"x-xss-protection"
};
List headersList = Arrays.asList(standardHeaders);
var headers = requestResponse.response().headers();
List unexpectedHeaders = new ArrayList();
for( var header : headers ) {
var headerName = header.name().toLowerCase();
if( !headersList.contains( headerName ) ) {
unexpectedHeaders.add( headerName );
}
}
if( unexpectedHeaders.size() > 0 ) {
requestResponse.annotations().setHighlightColor( HighlightColor.GRAY );
requestResponse.annotations().setNotes(
"Non-standard Headers: " + String.join( ",", unexpectedHeaders )
);
}
else {
// Maybe don't trample on existing Notes in the future??
requestResponse.annotations().setHighlightColor( HighlightColor.NONE );
requestResponse.annotations().setNotes("");
}
return true;
Подробнее про составление этого шаблона и возможности по его кастомизации читайте тут.
А если вы ничего не знаете о фильтрах Bambdas, то рекомендую вам ознакомиться со статьей о написании фильтров Bambda Like a Boss. В ней подробно описано, что это такое, почему вас это должно заинтересовать и как начать с этим работать.
#web #tools #burp
Please open Telegram to view this post
VIEW IN TELEGRAM
А что вы знаете о специфичных атаках? Вот мы с вами разбирали Linux, Windows, Mac OS. Но мы же с вами помним, что обычные люди ставят обычные пароли, тем более одинаковые. Как мы обычно их находили пароли от Доменного Админа? Принтеры, IoT, веб-панели видеорегистраторов камер и ещё 99 вариантов)
А что если поискать пароли от учёток в сохраненных паролях браузера. Тем более зачастую шифрование там не очень. Стоит попробовать)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PurpleBear (Vadim Shelest)
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from PurpleBear (Vadim Shelest)
Frameless BITB
По этой причине пытливый ум одного исследователя придумал тоже самое, только без
Обычно на проектах мы использовали другую технику BITB noVNC в киоске, с небольшой кастомизацей, которая по моему мнению намного проще и эффективнее, но мне понравился претекст с использованием Calendly👍
PS: Лайк, если хочется увидеть отдельную заметку про BITB noVNC🤙
#phishing #BITB
Browser in The Browser - хорошо знакомая техника получения учетных данных для первоначального доступа во время проведения фишинговых компаний, придуманная mr.d0x в 2022 году. Суть этой техники заключается в создании на фишинговой странице HTML iframe элемента, который имитирует редирект на страницу логина Microsoft для OAth2.0 авторизации в новом окне браузера. Эта техника будет работать при отсутствии X-Frame-Options: "DENY"/Content-Security-Policy: frame-ancestors "self"По этой причине пытливый ум одного исследователя придумал тоже самое, только без
iframe. Имитация "нового окна браузера" для логина Microsoft создается с помощью подстановки HTML, CSS с прокси перед проксей с Evilginx 🙈 и JS который добавляет эффект правдоподобности, а также фоном фишинговой страницы в Shadow DOM. Так же автор опубликовал код на github и подробную видео инструкцию с деталями использования на примере O365 Microsoft.Обычно на проектах мы использовали другую технику BITB noVNC в киоске, с небольшой кастомизацей, которая по моему мнению намного проще и эффективнее, но мне понравился претекст с использованием Calendly👍
PS: Лайк, если хочется увидеть отдельную заметку про BITB noVNC🤙
#phishing #BITB
GitHub
GitHub - waelmas/frameless-bitb: A new approach to Browser In The Browser (BITB) without the use of iframes, allowing the bypass…
A new approach to Browser In The Browser (BITB) without the use of iframes, allowing the bypass of traditional framebusters implemented by login pages like Microsoft and the use with Evilginx. - wa...
🔥12❤5😍3👾1
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:
🔗 https://freedium.cfd/<URL>
🔗 https://medium-forall.vercel.app/
#medium #premium #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤2😈2
Forwarded from Mobile AppSec World (Yury Shabalin)
Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.
Forwarded from Mobile AppSec World (Yury Shabalin)
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
Немного лирического про ИБ
https://youtu.be/8b8Ue23HYZY
https://youtu.be/8b8Ue23HYZY
YouTube
Хакеры стучатся в небеса. Тук-Тук...
👊 Поддержать канал: https://donate.stream/oplot
🔥 Мой телеграмм-канал: https://xn--r1a.website/+51-h3QVnUXJlZTRi
👁 Найти своего врага, узнать все, что враг или военком знает о тебе, в боте Глаз Бога: https://reg.ms/OplotGLAZ
⛳ Лучший VPN прямо в телеграмме: http…
🔥 Мой телеграмм-канал: https://xn--r1a.website/+51-h3QVnUXJlZTRi
👁 Найти своего врага, узнать все, что враг или военком знает о тебе, в боте Глаз Бога: https://reg.ms/OplotGLAZ
⛳ Лучший VPN прямо в телеграмме: http…
Forwarded from Bounty On Coffee
Вкратце, как прошел недельный багхантинг
Могу сказать, что выбор есть и на данный момент он достаточно большой, учитывая количество багхантеров на данный момент на РФ платформах.
За неделю багхантинга, преимущественно в выходные, сдал 16 багов. В основном все уровня High, пару критов и медиумов еще.
Багхантил преимущественно на 2х программах, в 1 из них пока поверхностно, в другом забурился уже достаточно глубоко и предвещаю еще достаточно много багов.
Если разделять по типам багов, преимущественно логические баги и несколько Server-Side инъекций.
Немного статистики будущего
- На платформы выходят новые программы, которые до этого не бывали на ББ
- Не высокий уровень защищенности
- Стабильное добавление новых программ
Учитывая все эти факторы. можно сказать, что в лайт режиме, тратя в среднем 1-3 часа в день можно сдавать 50+ багов в месяц
А если уж вы хантите фул, то и все 100-150+ багов в месяц
Ломаем дальше!
Могу сказать, что выбор есть и на данный момент он достаточно большой, учитывая количество багхантеров на данный момент на РФ платформах.
За неделю багхантинга, преимущественно в выходные, сдал 16 багов. В основном все уровня High, пару критов и медиумов еще.
Багхантил преимущественно на 2х программах, в 1 из них пока поверхностно, в другом забурился уже достаточно глубоко и предвещаю еще достаточно много багов.
Если разделять по типам багов, преимущественно логические баги и несколько Server-Side инъекций.
Немного статистики будущего
- На платформы выходят новые программы, которые до этого не бывали на ББ
- Не высокий уровень защищенности
- Стабильное добавление новых программ
Учитывая все эти факторы. можно сказать, что в лайт режиме, тратя в среднем 1-3 часа в день можно сдавать 50+ багов в месяц
А если уж вы хантите фул, то и все 100-150+ багов в месяц
Ломаем дальше!
#форензика #forensic #windows #powershell
Но вот недавно листая интернеты наткнулся на интересную гитхаб репу, которая на мой взгляд сильно облегчает работу любому форензику, особенно начинающему — MemProcFS-Analyzer.
Please open Telegram to view this post
VIEW IN TELEGRAM