Ровно 2 месяца не писал в канал, так что в качестве извинений дропаю тулзу
2 самых используемых прокси - Burp и Caido, пытаются идти со временем и добавляют AI фичи в свои продукты. Однако сейчас они выглядят довольно странно, фактически не позволяют передать флоу полностью в AI, сделать интеграции с другими MCP
Поэтому я написал плагин для Caido, который позволяет подключать его в качестве программы в Claude.
Например можно написать:
"Отфильтруй запросы к такому то хосту за такие-то даты, содержащие то и то. Разбей их на replay колекции и переименуй исходя из смысла"
И получить набор проименновых и структурированных запросов отправленных в reply
Но что самое главное - остальные MCP ваши тулзы будут работать так же вместе с плагином (базово например поиск в вебе, поиск по спекам и тд)
Что позволит запускать проект и уходить на 20 минут по AI разметит весь проект)
https://github.com/Slonser/Ebka-Caido-AI
2 самых используемых прокси - Burp и Caido, пытаются идти со временем и добавляют AI фичи в свои продукты. Однако сейчас они выглядят довольно странно, фактически не позволяют передать флоу полностью в AI, сделать интеграции с другими MCP
Поэтому я написал плагин для Caido, который позволяет подключать его в качестве программы в Claude.
Например можно написать:
"Отфильтруй запросы к такому то хосту за такие-то даты, содержащие то и то. Разбей их на replay колекции и переименуй исходя из смысла"
И получить набор проименновых и структурированных запросов отправленных в reply
Но что самое главное - остальные MCP ваши тулзы будут работать так же вместе с плагином (базово например поиск в вебе, поиск по спекам и тд)
Что позволит запускать проект и уходить на 20 минут по AI разметит весь проект)
https://github.com/Slonser/Ebka-Caido-AI
🔥39❤9👍8💩3😁2
Заметки Слонсера
Ровно 2 месяца не писал в канал, так что в качестве извинений дропаю тулзу 2 самых используемых прокси - Burp и Caido, пытаются идти со временем и добавляют AI фичи в свои продукты. Однако сейчас они выглядят довольно странно, фактически не позволяют передать…
Ebka AI официально доступен через Caido Store!
MCP полностью проработан и протестирован с Claude/Cursor
Для опенсорс проектов - теперь можете написать прямо в IDE
"Создай Replay коллекции под каждый модуль приложения и наполни их запросами"
"Модифицируй запрос X исходя из функциональности в методе Y"
Так же если пишите сложный эксплойт, курсор опять таки сможет брать информацию которая ему нужна прямо из прокси Caido.
Так же он может создавать Match/Replace rules, работать со scope, findings и тд
Фактически предоставляет вашему AI полный доступ к вашему инстансу Caido
P.S.
Так как курсор поддерживает локальные модели, теперь можно использовать плагин с ними, если вам не нужно чтобы данные улетали на чужие сервера
MCP полностью проработан и протестирован с Claude/Cursor
Для опенсорс проектов - теперь можете написать прямо в IDE
"Создай Replay коллекции под каждый модуль приложения и наполни их запросами"
"Модифицируй запрос X исходя из функциональности в методе Y"
Так же если пишите сложный эксплойт, курсор опять таки сможет брать информацию которая ему нужна прямо из прокси Caido.
Так же он может создавать Match/Replace rules, работать со scope, findings и тд
Фактически предоставляет вашему AI полный доступ к вашему инстансу Caido
P.S.
Так как курсор поддерживает локальные модели, теперь можно использовать плагин с ними, если вам не нужно чтобы данные улетали на чужие сервера
🤣23🔥15👍4❤3👎1
Ребята из Wildberries запускают закрытый ивент!
1 сентября стартует особое событие для ресерчеров:
— новый уникальный скоуп
— дополнительные конкурсы и подарки
— онлайн и оффлайн части.
Как попасть внутрь?
До 29 августа нужно сдать отчет об уязвимости в основной программе. Количество мест ограничено — пригласят только авторов лучших работ.
Кроме того, выплаты за ключевые сценарии увеличены до 1 000 000 ₽ (да не 1000 и даже не 10 000 рублей!):
— несанкционированный доступ к тестовому ЛК продавца
— доступ к аккаунту покупателя
— финансовое обогащение.
Подробности — в канале @wildberries_bugbounty и на платформе Standoff 365.
1 сентября стартует особое событие для ресерчеров:
— новый уникальный скоуп
— дополнительные конкурсы и подарки
— онлайн и оффлайн части.
Как попасть внутрь?
До 29 августа нужно сдать отчет об уязвимости в основной программе. Количество мест ограничено — пригласят только авторов лучших работ.
Кроме того, выплаты за ключевые сценарии увеличены до 1 000 000 ₽ (да не 1000 и даже не 10 000 рублей!):
— несанкционированный доступ к тестовому ЛК продавца
— доступ к аккаунту покупателя
— финансовое обогащение.
Подробности — в канале @wildberries_bugbounty и на платформе Standoff 365.
Standoff365
Wildberries · Bug Bounty
Standoff 365 Bug Bounty — платформа для поиска уязвимостей за вознаграждение и самый быстрый способ убедиться в надежности своей IT-инфраструктуры с помощью тысяч сильнейших хакеров.
❤11🔥8👍7👎5😁4
В CSS добавили IF-Else и ребята из портсвиггера смогли дополнить с помощью него мою технику эксфильтрации данных
https://portswigger.net/research/inline-style-exfiltration
https://portswigger.net/research/inline-style-exfiltration
PortSwigger Research
Inline Style Exfiltration: leaking data with chained CSS conditionals
I discovered how to use CSS to steal attribute data without selectors and stylesheet imports! This means you can now exploit CSS injection via style attributes! Learn how below: Someone asked if you c
🔥42👍7🤯5🐳1🤣1
Интересный проект нормативного акта о изменении УК РФ был опубликован недавно однако
Поправок много, но больше всего читателей заинтересует правка к 272 УК РФ ( Неправомерный доступ к компьютерной информации )
Если это примут без правок, то фактически ломануть условную сеть Илона Маска и украсть с неё данные - больше не блечерство 😳
* Это то как я это истрактовал, да и ещё до принятия далеко
https://regulation.gov.ru/projects/159661
Поправок много, но больше всего читателей заинтересует правка к 272 УК РФ ( Неправомерный доступ к компьютерной информации )
2. Лицо не подлежит уголовной ответственности по настоящей статье в случае, если его действия направлены на информационные ресурсы в информационно-телекоммуникационной сети «Интернет», доступ к которым запрещен или ограничен в соответствии
с действующим законодательством Российской Федерации.»;Если это примут без правок, то фактически ломануть условную сеть Илона Маска и украсть с неё данные - больше не блечерство 😳
* Это то как я это истрактовал, да и ещё до принятия далеко
https://regulation.gov.ru/projects/159661
🔥36😁15❤🔥1🤔1🤯1
Forwarded from blog.z3r.ru
Написал некоторые заметки про недавно опубликованное CVE-2025-41243, которое нашел еще летом. Все еще не покидает ощущение что это было RCE, но я не докрутил. Предлагаю ознакомиться!
CW: java, SpEL
CW: java, SpEL
blog.z3r.ru
[CVE-2025-41243] Spring Cloud Gateway: complicating evaluation context
Bypassing some restrictions in Spring Cloud Gateway filters to DoS, secrets leak or RCE
👍14🔥8❤4
Forwarded from КапИБара. Подкаст нулевого дня 🎧
⚡️🎙 Представляем 11-й выпуск подкаста «КапИБара» и опять с гостем!
В этот раз к нам на спич заглянул Всеволод Кокорин aka Slonser, автор блога "Заметки Слонсера". Поговорим про пентест, redteam, изучение кода, BugBounty, поиск RCE, репорт CVE и другие весёлые занятия белых хакеров.
Все аудио площадки где можно нас услышать - размещены здесь (на некоторых площадках подгрузка и стабильная работа осуществляется в течении 24-ёх часов).
Отдельно выделим наши флагманские площадки - Яндекс и Apple
+ появилась возможность слушать прямо в ТГ
Также в видео формате под приятную анимацию нас можно послушать на:
RuTube
YouTube
VK
Слушайте, оставляйте комментарии и советуйте друзьям 😁🎧
КапИБара. Подкаст нулевого дня. Подписаться
В этот раз к нам на спич заглянул Всеволод Кокорин aka Slonser, автор блога "Заметки Слонсера". Поговорим про пентест, redteam, изучение кода, BugBounty, поиск RCE, репорт CVE и другие весёлые занятия белых хакеров.
Все аудио площадки где можно нас услышать - размещены здесь (на некоторых площадках подгрузка и стабильная работа осуществляется в течении 24-ёх часов).
Отдельно выделим наши флагманские площадки - Яндекс и Apple
+ появилась возможность слушать прямо в ТГ
Также в видео формате под приятную анимацию нас можно послушать на:
RuTube
YouTube
VK
Слушайте, оставляйте комментарии и советуйте друзьям 😁🎧
КапИБара. Подкаст нулевого дня. Подписаться
Podcast.ru
КапИБара. Подкаст нулевого дня. (Кибербезопасность, ИТ и не только) – Podcast.ru
Подкаст "КапИБара" — это простой и увлекательный разговор на темы информационной безопасности, кибербезопасности и ИТ в целом. Мы обсуждаем ситуации и события из мира ИБ, делимся опытом, шутим и иногда отвлекаемся на интересные истории. Здесь найдётся что…
🔥20👍7❤1
Сьездили на SAS второй год подряд
Пока остаётся топ 1 инфосек конференцией из тех где я был, и в плане организации и в плане докладов - уровень к которому нужно стремиться многим организаторам
Ну и конечно поиграли CTF, взяли топ 1, что всегда приятно
Надеюсь увидимся со всеми на SAS 2026
Пока остаётся топ 1 инфосек конференцией из тех где я был, и в плане организации и в плане докладов - уровень к которому нужно стремиться многим организаторам
Ну и конечно поиграли CTF, взяли топ 1, что всегда приятно
Надеюсь увидимся со всеми на SAS 2026
❤52🔥36👍12🐳2
Forwarded from HaHacking
Media is too big
VIEW IN TELEGRAM
[1080p][480p] К слову, обновила статью: с момента написания ВСЕ упомянутые браузерные расширения кошельков подтянулись и реализовали UI элементы, которые бы показывали пользователю домен, с которого пришёл запрос, вместо того, что указал разработчик dApp'а в TON манифесте! Жаль, что в остальных форматах это пока неприменимо;
🌐 ‟Down the Drain: Unpacking TON of Crypto Drainers”
Что ж, работаем дальше!
А вот Павел Дуров удивился, что кого-то скамили через мини-приложения в Telegram – о чём он узнал на форуме Blockchain Life, опросив аудиторию;
💬 Кстати, в этот раз на Pentest Awards был крутой кейс, занявший 1 место в номинации "Ловись рыбка":
🌐 ‟OTP — не проблема! Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2”
В рамках него рассматривается использование мини-приложений Telegram в фишинговых кампаниях и redteam проектах.
@HaHacking
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤11👍4🔥4🥰3
На неделе спросили раза 4 почему я юзаю Caido, а не Burp Suite
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Хабр
Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
Предисловие Данная статья посвящена прокси Caido. В русскоязычном пространстве довольно мало материалов, которые посвящены Caido, а в последнее время меня часто спрашивали, почему я использую Caido, а...
21❤28🔥8😐7👍2🤯2
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
7👍57🔥26❤7
Очень крутой доклад с TROOPERS25
Такого хорошо собранного материала в одном месте по CSS атакам ещё не видел
https://www.youtube.com/watch?v=Owp-mHUyg9I
Такого хорошо собранного материала в одном месте по CSS атакам ещё не видел
https://www.youtube.com/watch?v=Owp-mHUyg9I
YouTube
TROOPERS25: Scriptless Attacks - Why CSS is My Favorite Programming Language
More impressions:
/ wearetroopers
/ ernw_itsec
https://infosec.exchange/@WEareTROOPERS
https://infosec.exchange/@ERNW https://ernw.de
#TROOPERS #ITsecurity #ERNW
/ wearetroopers
/ ernw_itsec
https://infosec.exchange/@WEareTROOPERS
https://infosec.exchange/@ERNW https://ernw.de
#TROOPERS #ITsecurity #ERNW
🔥19💅7
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
npx create-next-app
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
4❤36🤯16🔥8💅3😁2
Вот и подходит уже новый 2026 год. Так что пора подвести черту 2025 года, а так же подумать что нас ждёт в 2026 году. Букв много, можете просто прочитать послесловие)
[Выступления]
В этом году получил первый масштабный опыт выступления на международных конференциях, выступать в Японии и Корее оказалось не простым вызовом. Но обрадовала, что реакция публики была положительной - https://metamask.io/news/metamask-security-report-march-2025
Ну и по традиции повыступал где хватило времени в России. Пытаюсь слишком часто из дома не вылазить (Так как не хочу рассказывать одно и тоже по кругу, да и будет грустно если мое лицо публике наскучит)
Но до сих пор всегда рад прийти на чашечку чая (или чего покрепче) на коммьюнити конфы
[Движуха]
Не очень много участвую в "движе" российского ИБ сообщества, но иногда куда-то зовут.
Очень приятно всегда увидеть уже знакомые лица и ещё более приятно видеть новые лица - вы все лучшие)
Из того что запомнилось:
В Декабре было много мероприятий (сливать то бюджеты куда-то надо под конец года)
Попал на вечеринку Wildberries под новый год, хотя я сам не ханчу на ВБ - видно как ребята стараются улучшать свою программу и держать коннект с комьюнити, это золотого стоит. Можете подписаться на них и занести "CRITICAL SELF RCE" под бой курантов, чтобы не расслаблялись на дежурстве)
Так же в декабре попал на ивент на тинька, багов не особо не занес. По традиции занес 1 багу и забрал "Мамину радость" за лучшееИИ оформление отчетов. Забавно что этот ивент вынудил меня сдать первый баг на стендоффе за год, но об этом позже. Так что любимый желтый банк не забываем, ребята как были солнышками так и остаются, ничего не меняется.
Ну и конечно отдельный респект ребятам из VK и бессменным царям их программы @s3n_q и @wellenc_lex. Кажется мало кто будет спорить если я скажу что из Российских компаний ВК сейчас больше всего вносит в сообщество, от VK Security Confab (где мне так же посчастливилось выступать) до кальянной зоны на ZeroNights. Короче уважаемый вклад в сообщество, подпишитесь если ещё не подписаны - t.me/vk_security
[ББ]
Глава краткая, если говорить кратко, то на российском ББ я почти ничего не репортил
Было пару репортов в Яндекс и MAX, в этом году преисполнился в использовании AI агентов и сейчас пытаюсь дооформлять свои наработки в цельный рабочий тулкит, чтобы багхантить руками не пришлось
AI остается с нами на всегда, даже на моих тестах он уже успешно зарабатывает деньги, так что даже самым большим скептикам рано или поздно придется внедрить в свои процессы. Думаю уже в 2026 поделюсь инсайдами по своим решениям.
Так же думаю в первой половине 2026 можете ожидать очень громкий ресерч от меня, на который я потратил очень много сил и которым очень горжусь)
[CTF]
Ну и конечно играл в CTF, в этом году мы выпали из мирового топа 10 цтфтайм (Хоть и остаемся топ 1 командой рф). Причин тому много, первая из них - мы играли много в коллабах, например так выиграли инсомнихак в Швейцарии и играли DEFCON в Вегасе. Вторая причина - CTF требует все же время, а у членов команды его остается все меньше и меньше
Несмотря на все это - CTF это до сих пор весело, позволяет кататься по разным странам, знакомиться с интересными людьми. CTF - это жизнь, играйте в CTF.
[Послесловие]
Вообщем спасибо всем, как обычно лучшее сообщество на земле!
Многое забыл, многих не упомянул, но не со зла, нет вайба писать пост дольше 15 минут)
С наступающим вас 2026 годом, да прибудет с вами Self-XSS)
[Выступления]
В этом году получил первый масштабный опыт выступления на международных конференциях, выступать в Японии и Корее оказалось не простым вызовом. Но обрадовала, что реакция публики была положительной - https://metamask.io/news/metamask-security-report-march-2025
Ну и по традиции повыступал где хватило времени в России. Пытаюсь слишком часто из дома не вылазить (Так как не хочу рассказывать одно и тоже по кругу, да и будет грустно если мое лицо публике наскучит)
Но до сих пор всегда рад прийти на чашечку чая (или чего покрепче) на коммьюнити конфы
[Движуха]
Не очень много участвую в "движе" российского ИБ сообщества, но иногда куда-то зовут.
Очень приятно всегда увидеть уже знакомые лица и ещё более приятно видеть новые лица - вы все лучшие)
Из того что запомнилось:
В Декабре было много мероприятий (сливать то бюджеты куда-то надо под конец года)
Попал на вечеринку Wildberries под новый год, хотя я сам не ханчу на ВБ - видно как ребята стараются улучшать свою программу и держать коннект с комьюнити, это золотого стоит. Можете подписаться на них и занести "CRITICAL SELF RCE" под бой курантов, чтобы не расслаблялись на дежурстве)
Так же в декабре попал на ивент на тинька, багов не особо не занес. По традиции занес 1 багу и забрал "Мамину радость" за лучшее
Ну и конечно отдельный респект ребятам из VK и бессменным царям их программы @s3n_q и @wellenc_lex. Кажется мало кто будет спорить если я скажу что из Российских компаний ВК сейчас больше всего вносит в сообщество, от VK Security Confab (где мне так же посчастливилось выступать) до кальянной зоны на ZeroNights. Короче уважаемый вклад в сообщество, подпишитесь если ещё не подписаны - t.me/vk_security
[ББ]
Глава краткая, если говорить кратко, то на российском ББ я почти ничего не репортил
Было пару репортов в Яндекс и MAX, в этом году преисполнился в использовании AI агентов и сейчас пытаюсь дооформлять свои наработки в цельный рабочий тулкит, чтобы багхантить руками не пришлось
AI остается с нами на всегда, даже на моих тестах он уже успешно зарабатывает деньги, так что даже самым большим скептикам рано или поздно придется внедрить в свои процессы. Думаю уже в 2026 поделюсь инсайдами по своим решениям.
Так же думаю в первой половине 2026 можете ожидать очень громкий ресерч от меня, на который я потратил очень много сил и которым очень горжусь)
[CTF]
Ну и конечно играл в CTF, в этом году мы выпали из мирового топа 10 цтфтайм (Хоть и остаемся топ 1 командой рф). Причин тому много, первая из них - мы играли много в коллабах, например так выиграли инсомнихак в Швейцарии и играли DEFCON в Вегасе. Вторая причина - CTF требует все же время, а у членов команды его остается все меньше и меньше
Несмотря на все это - CTF это до сих пор весело, позволяет кататься по разным странам, знакомиться с интересными людьми. CTF - это жизнь, играйте в CTF.
[Послесловие]
Вообщем спасибо всем, как обычно лучшее сообщество на земле!
Многое забыл, многих не упомянул, но не со зла, нет вайба писать пост дольше 15 минут)
С наступающим вас 2026 годом, да прибудет с вами Self-XSS)
20❤64🔥13👍6
Заметки Слонсера
Вот и подходит уже новый 2026 год. Так что пора подвести черту 2025 года, а так же подумать что нас ждёт в 2026 году. Букв много, можете просто прочитать послесловие) [Выступления] В этом году получил первый масштабный опыт выступления на международных конференциях…
А теперь уже точно всех с новым счастьем)
Следующий бокал поднимается за вас всех!
Следующий бокал поднимается за вас всех!
3❤38🍾19🔥9
Немного на днях сгорело как же плоха работа с output MCP
Описал то что пришло в голову здесь
https://blog.slonser.info/posts/smugglle-ai-ouputs/
Описал то что пришло в голову здесь
https://blog.slonser.info/posts/smugglle-ai-ouputs/
2😁16👍9🔥7🤬1