🔓 Десериализация в PHP: как это эксплуатируют и как защититься
#php #десер #десериализация #deserialization

Десериализация — это процесс преобразования строки обратно в объект. В PHP для этого используются функции serialize() и unserialize(). Однако, если десериализовать данные из ненадёжных источников, это может стать серьёзной уязвимостью.

Как работает атака?
Рассмотрим пример кода, где используется класс с magic method (если и другие) __wakeup() — он автоматически вызывается при десериализации объекта:

<?php
class Injection {
    public $payload;

    function __wakeup() {
        eval($this->payload);
    }
}

if (isset($_REQUEST['data'])) {
    $obj = unserialize($_REQUEST['data']);
    // Дальнейшая работа с $obj
}
?>

Злоумышленник может передать специально сформированный сериализованный объект через параметр data:

O:9:"Injection":1:{s:7:"payload";s:21:"phpinfo(); // payload";}

При десериализации будет выполнена команда phpinfo(), что может открыть доступ к конфиденциальной информации о веб сервере. Более сложные payload'ы могут привести к RCE и другим атакам.

⭐️Как защититься?

➡️Избегайте использования unserialize() для входящих данных.
➡️Для обмена данными используйте более безопасные форматы, такие как JSON.
➡️Ограничьте доступные классы. Начиная с PHP 7, можно указать, какие классы разрешено десериализовать:

data = unserialize($input, ['allowed_classes' => ['SafeClass']]);

➡️Фильтруйте данные. Перед десериализацией проверяйте данные на соответствие ожидаемому формату. Не допускайте наличие кода или неожиданных объектов.
➡️Регулярно обновляйте PHP. Новые версии часто содержат исправления для известных уязвимостей. Используйте актуальную версию PHP.
➡️Проверяйте используемые библиотеки на наличие уязвимостей. К сожалению десер достаточная частая уязвимость, но не часто эксплуатируемая. На скрине вы сами видите сколько было только зарегано CVE с десериализацией. А о скольких мы не знаем?

Ваш опыт?
Сталкивались ли вы с такой багой на проектах? Какие рекомендации давали по защите? Делитесь своим опытом в комментариях)

Дополнительное чтиво
Небезопасная десериализация в PHP: Как создать собственный эксплойт - это статья от моего хорошего знакомого wr3dmast3r
Сериализация и десериализация: что это такое и как это работает - а это базовое чтиво по десеру в пыхе
PayloadsAllTheThings | PHP Deserialization - тут и так понятно что будет)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

😑 Threat Intelligence: зачем это нужно?
#threatintelligence #кибербезопасность #TI

Threat Intelligence (TI) — это сбор и анализ информации о киберугрозах, который помогает компаниям предугадывать действия злоумышленников и защищаться заранее.

Почему это важно?
Представьте, что у вас есть данные о том, где, как и когда враг готовится атаковать. TI предоставляет информацию о новых уязвимостях, фишинговых кампаниях, вредоносных программах и тактиках атакующих. Мне эта тема стала интересна давно, причем я на неё смотрю не с точки зрения защиты, а как пентестер.

Как это помогает?
Для blue team: Позволяет обновлять защиту до того, как станет поздно.
Для руководителей: Обучает сотрудников распознавать современные угрозы.
Для CISO: Помогает прогнозировать атаки и снижать потенциальные риски.
Для пентестеров/багхантеров: Максимально быстро узнавать о 0/1 day эксплойтах. Можно развернуть на своих серверах интересное для себя ПО, к примеру VMware Horizon, 1C Bitrix и анализировать как атакуют такие системы.

Threat Intelligence — это не просто аналитика. Это инструмент, который делает вашу защиту проактивной, а не реактивной. По другому это можно сравнить с противостоянием меч и щит. Хакеры всегда затачивают мечи, безопасникам нужно делать щит прочнее. TI позволяет делать щит прочнее, заранее узнав каким мечом тебя ударят.

А вы используете TI в своей практике? Делитесь опытом в комментариях)

Если вам интересна эта тема, ставьте ❤️

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Как выглядит интерфейс DDOS-атаки на сервер в 2025 году

👏

👱‍♂️ Хард скилы VS софт скилов: что важнее?
#softskills #hardskills #карьера #софтскилы #хардскилы #найм

➡️ Результаты опроса
▪️Софт скилы: 229 голосов (45.6%)
▪️Хард скилы: 273 голоса (54.4%)
Общая тенденция от подписчиков: хард скилы по-прежнему остаются в приоритете.

➡️ Что обсуждали в чате?
➡️Софт скилы: В обсуждении отмечают, что умение адаптироваться, работать в команде и слушать фидбэк помогает быстрее влиться в коллектив. Такие навыки часто компенсируют недостаток опыта.
➡️Хард скилы: Ожидается, что даже начинающий сотрудник должен владеть базовыми техническими знаниями. Это фундамент, без которого сложно выполнить даже простые задачи.
➡️Баланс: Многие сходятся во мнении, что лучший вариант — это комбинация навыков: хард скилы дают уверенность в задачах, а софт скилы — гибкость и потенциал для роста.

Почему HR предпочитают софт скилы на начальных этапах?
Если речь идёт о найме стажёров или джунов, софт скилы выходят на первый план:

➡️Адаптивность и желание учиться: Для новичка важнее способность к обучению и усвоению новых знаний, чем владение техническими навыками, которые можно наработать.
➡️Работа в команде: Хорошие коммуникативные навыки помогают быстрее освоиться в коллективе и начать эффективно взаимодействовать.
➡️Потенциал на будущее: HR-специалисты чаще оценивают поведенческие качества как индикатор успешности в долгосрочной перспективе. Понятно, что HR не будет далее работать напрямую с этим человеком, а ей приоритетнее чтобы он не ушёл, когда ему абстрактные негативные технологии предложат х2 по зп и он сразу к ним убежит.

🚩 А что если расширить список вариантов ответов?

Это сделал мой коллЭга-админ Ильдар у себя на канале и по итогу его подписчики выбрали багбаунти \ CVE. На счёт багбаунти понятно, но CVE вызывает следующее лицо 😐. Я бы переформулировал на багбаунти \ ресерч в рамках какой-то технологии. Т.е. соискатель может показать результат/продукт своей практики. Но к сожалению таких ребят очень мало, но рад видеть, что они начинают больше появляться)

⚡️ А как по факту работает? Расскажу про свой опыт, речь будет только про джунов.

➡️Во время собеса мне важен всё таки баланс между софт и хард скилами. Но если говорить прям про стажёра, то важнее софт скилы. Потому что кому потом с этим чебуреком работать? Мне. Кто будет его потом терпеть учить? Я. Поэтому важнее софт скилы, дума стало понятно почему.
➡️ А если говорить про хард скилы, то я перед собеседованием вспоминаю как собесили меня и что мне запомнилось/понравилось. Бывают собесы после которых у тебя может наступить экзистенциальный кризис из-за того, что тебя передушили и ты думаешь, что ничего не знаешь (мои собесы в бизон). Или к примеру, как было в Awillix, спрашивали вообще все темы, но не душили прям. Нравятся вопросы, когда дают кейс и спрашивают а как бы ты сделал (но не как у Каспера).
➡️Как правильно отметил в ЛС мой хороший знакомый, часто бывает, что пытаются успеть загуглить и выдать это за свой ответ. Я нормально к этому отношусь, если соискатель не палится)) Такие финты легко контрятся с помощью, вот тебе пример из жизни, как бы ты его выполнял/разбирал/ломал/исправлял/защищал(нужное подчеркнуть)

Если бы мне пришлось начинать заново путь в ИБ, то качал бы софт скилы 60%, хард скилы 40%. Затем в течение года 30% софт скилы, 70% хард скилы - это позволит быстрее вырасти, как специалист. Затем выравнивать, в зависимости личностных предпочтений, интровертам одно, экстравертам другое.

👩 Если вы HR или принимаете участие при найме, то делитесь своим мнением в комментариях: что важнее именно для вас — софт или хард скилы?

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

#meme

🌚 @poxek

🌕 В уличной драке побеждает тот кто:
1. Разобьет стеклянную дверь кувалдой.
2. Успеет взломать и сделать все что надо до того как охрана надает по тыкве.

Поэтому члены команды пентеста в Бастионе решили сделать пробив офиса и показать архитектурные косяки множества СКУД. Как сис админ по первой работе, я помню какие же дырявые были у нас в госке СКУДы. Некоторые были такие слабые (магниты, как часть системы), что дверь можно было открыть просто приложив усилие. А некоторые ... ну ладно, что-то меня понесло)

Представляю вашему вниманию⬇️

😱 Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита
#redteam #bastion #СКУД #RFID

Удержаться от знакомства с новой СКУД оказалось поистине «невыполнимой» миссией. В конце концов, кто, если не мы, протестирует безопасность компании, которая отвечает за безопасность других? «Мы» — это эксперты Бастиона по программно-аппаратному взлому: Иван Глинкин и Алексей Петренко.

Подрядчик установил в офисе довольно дорогие гаджеты: 7-дюймовый экран, широкоугольная камера, инфракрасная подсветка для работы в полной темноте. По заявлениям производителя, такие терминалы узнают человека за доли секунды с точностью 99%, запоминают тысячи лиц и способны идентифицировать людей в ковидных масках.

➡️ Читать дальше

📺 Ребята очень постарались и записали видос — это маст хев к просмотру)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50

Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить

Часть 1
Часть 2

➡️У меня нет опыта работы, а все требуют проекты и достижения
Решение:
▪️Участвуйте в CTF (Capture the Flag) соревнованиях. Даже начинающие задачи могут быть значимым вкладом в портфолио.
▪️Опишите выполненные учебные проекты, например, анализ уязвимостей или создание простых систем безопасности.
▪️Учавствуйте в BugBounty, сейчас этот рынок РФ быстро растёт и уже с прошлого года вижу как в вакансиях появился новый пункт в разделе Будет плюсом об участии в багбаунти. Понятно, что надо и баги найти, а не просто зарегаться :D


➡️Я не знаю, что добавить в портфолио, чтобы это заинтересовало работодателей
Решение:
▪️Пишите writeup'ы (райтапы) по лабам HackTheBox/TryHackMe/PortSwigger Academy. С помощью грамотного описания как вы поломали что-то вы улучшите: понимание темы/уязвимости/системы, навык написания отчётов (что нужно не только для техписов/аналитиков), грамотную подачу мыслей.
▪️Документируйте свои исследования: анализ уязвимостей, best practice использование инструментов, какие-то автоматизации. К примеру был кейс, когда пришёл одному парню в компании1 дали задачу написать крутой сетевой сканер (типо naabu от Project Discovery, только тогда naabu ещё не существовало)). В итоге парня сократили в компании1, т.к. сказали что разработка больше не нужна. Он пришёл на собес к одной из ИБ компаний в России и чё-то как-то начал рассказывать и когда он сказал, чем он занимался и что у него уже есть на руках, то его практически сразу взяли на работу. Ведь наши знаний, как кандидата на место в компанию, могут стоить для компании кратно дороже, чем мы их сами оцениваем)


➡️Я не умею правильно оформить своё портфолио
Решение:
▪️Используйте GitHub, как платформу для публикации проектов. Систематизируйте репозитории по категориям. Делитесь с сообществом своими наработками, компаниям это нравится.
▪️Не надо думать, что вы дофига дизигнер и нарисуете сами или через какой-то сервис генерации красивое, красочное резюме. Когда ко мне приходят с оценкой резюме и я вижу каракули — практически всегда это выглядит как детская поделка на субботнем утренике. У нас есть генератор резюме на hh, как стандарт. HRы в крупных компаниях тратят буквально несколько секунд на беглый осмотр вашего резюме. Всё что не укладывается в стандартизированный формат, будет либо скипнуто, либо запомниться недовольством о вашем резюме.


➡️Мои проекты выглядят слишком простыми — как показать свой потенциал?
Решение:
▪️Сходи к психологу и проработай свой синдром самозванца. Скромным не дают много деняг, потому что они не умеют требовать.
▪️Добавляйте пояснения, чего вы хотели достичь проектом и какие выводы сделали. Например: "Задача проекта — понять механизмы SQL-инъекций и предложить эффективные защиты."
▪️Покажите процесс решения задачи: от поиска проблемы до её устранения. Т.е. опишите ваш flow (не переводится) мышления, тогда либо вашему будущему руководителю, либо HRу будет понятно, как вы думаете и подходит ли ваше мышление для отдела.
▪️Если всё ещё счиатете проекты простыми, то выходите из зоны комфорта и ставьте цели кратно сложнее. Даже если не добъётесь конечного результата, за вами уже будет ковровая дорожка.

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50

Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить

Часть 1
Часть 2

➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.

➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.

Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)

P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)

Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

(PHP) Type Juggling

Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.

Итак,

🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.

По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.

🟣Тип:
Programming Language, Web, Server-Side.

Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:

📝свободное (loose): == или !=
📝строгое (strict): === иди !==

И самые интересные моменты всплывают как раз в первом типе.

🟣Пример уязвимого кода:

if (md5($user_input) == '0e732793752744629114494286417663') { ...

В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например GTJ3YSmZ в md5 будет 0e{digits...}), то условие будет истинным, так как для PHP обе эти строки будут конвертироваться в 0 (данный синтаксис возводит 0 в огромную степень, что результирует в 0).

Еще один интересный пример 'abc' == 0. Данное условие будет истинным, так как в первой строке PHP будет смотреть на ее начало в поиске цифр, по ненахождению которых он будет считать строку нулем. То есть следующее условие также будет истинным: '23abc' == 23

Больше подобных сравнений я поместил в скрине к посту (источник)

🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).

🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции password_hash(), password_verify() и hash_equals() для работы с хешами и паролями. (Ну и md5 не используйте для этих целей - он уже давно признан старым, оставьте в покое старичка).

На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.

#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling