Разбор RCE в Telegram
#telegram #RCE

Особо говорить не чего, разраб не так две буквы написал и получилась RCE ¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯

➡️ Читать далее

🌚 @poxek

Secure Coding Cheatsheets
#appsec #dev #devsecops #red_team #blue_team #SSDLC

Статья на тему безопасной разработки. В статье автор разобрал примеры уязвимостей в коде и как их избегать.

Кому полезен материал: appsec'арям, пентестерам, devsecops'ам и разрабам естественно

Также он показывает примеры не на одном языке, а на:
➡️ C#(.Net)
➡️ PHP
➡️ Go
➡️ Python
➡️ Java
➡️ Android Java
➡️ iOS Swift

Полезно почитать всем, по факту он выбрал самые популярные технологически стеки.
Автор разобрал следующие уязвимости:
➡️ Broken Access Control (Небезопасная управление доступом)
➡️ Cryptographic Failures (Криптографические недостатки)
➡️ Injection (Инъекции)
➡️ Insecure Design (Небезопасный дизайн проектирования)
➡️ Security Misconfiguration (Небезопасная настройка чего либо)
➡️ Vulnerable and Outdated Components (Уязвимые и/или не обновленные компоненты)
➡️ Inadequate Supply Chain Security (Уязвимость в цепочке поставок)
➡️ Insecure Authentication/Authorization (Небезопасная аутентификация/авторизация)
➡️ Insufficient Input/Output Validation (Недостаточная фильтрация ввода/вывода)
➡️ Insecure Communication (Небезопасная передача информации)
➡️ Improper Credential Usage (Неправильное хранение учетных данных)
➡️ Inadequate Privacy Controls (Неправильный контроль конфиденциальности)

Каждый найдет для себя что-то)

➡️ Статеечка

🌚 @poxek

Standoff 13 Changelog
#standoff13

➡️ Новая инфра, в виде виртуального государства S
➡️ Система кланов для Red Team
➡️ Расширены возможности для Blue team (я от себя лоббировал эту идею)

🌚 @poxek

Что случилось с Codeby? Они сделали ренейминг в DreamTeam. Так что не теряйтесь)

Codeby = DreamTeam

p.s. почему? зачем? не знаю

🌚 @poxek

КАК ВЗЛОМАТЬ КОМПАНИЮ? // ПРОЕКТ ПО ФИЗИЧЕСКОЙ КИБЕРАТАКЕ

Есть у меня хороший знакомый, Егор Зайцев @r00t_owl. Статный мужчина, так ещё и Директор департамента противодействия киберугрозам в «Информзащите». До знакомства с ним у меня было спорное отношение к Информзащите. Но узнав, что у них есть настолько крутой отдел red team'а и противодействия киберугрозам. Впервые мы с ним познакомились на Awillix Pentest Award, который кстати пройдет в этом году тоже и будет расширен.

Одну из историй, которую он рассказывал на своём канале, про то, как они с bodycam проводили red team и заказчик в записи потом смотрел фильм, про то как их же ломали. Там куча историй, как они проникали на казалось бы защищенный объекты, похекали АСУТП и т.д. Тот самый романтизм ИБ, только в профессиональном измерении) Максимально рекомендую зайти почитать и заодно подписаться 🐈

Так в итоге, мы шутили про фильм, шутили и вот дошутились))
Ребята буквально сняли нарезку того, как у них проходит реальный проект

📹 https://www.youtube.com/watch?v=1N5WyC1qwtI 📹

➡️ Подписывайтесь! @pro_pentest

🌚 @poxek