В CSS добавили IF-Else и ребята из портсвиггера смогли дополнить с помощью него мою технику эксфильтрации данных
https://portswigger.net/research/inline-style-exfiltration
https://portswigger.net/research/inline-style-exfiltration
PortSwigger Research
Inline Style Exfiltration: leaking data with chained CSS conditionals
I discovered how to use CSS to steal attribute data without selectors and stylesheet imports! This means you can now exploit CSS injection via style attributes! Learn how below: Someone asked if you c
🔥42👍7🤯5🐳1🤣1
Интересный проект нормативного акта о изменении УК РФ был опубликован недавно однако
Поправок много, но больше всего читателей заинтересует правка к 272 УК РФ ( Неправомерный доступ к компьютерной информации )
Если это примут без правок, то фактически ломануть условную сеть Илона Маска и украсть с неё данные - больше не блечерство 😳
* Это то как я это истрактовал, да и ещё до принятия далеко
https://regulation.gov.ru/projects/159661
Поправок много, но больше всего читателей заинтересует правка к 272 УК РФ ( Неправомерный доступ к компьютерной информации )
2. Лицо не подлежит уголовной ответственности по настоящей статье в случае, если его действия направлены на информационные ресурсы в информационно-телекоммуникационной сети «Интернет», доступ к которым запрещен или ограничен в соответствии
с действующим законодательством Российской Федерации.»;Если это примут без правок, то фактически ломануть условную сеть Илона Маска и украсть с неё данные - больше не блечерство 😳
* Это то как я это истрактовал, да и ещё до принятия далеко
https://regulation.gov.ru/projects/159661
🔥36😁15❤🔥1🤔1🤯1
Forwarded from blog.z3r.ru
Написал некоторые заметки про недавно опубликованное CVE-2025-41243, которое нашел еще летом. Все еще не покидает ощущение что это было RCE, но я не докрутил. Предлагаю ознакомиться!
CW: java, SpEL
CW: java, SpEL
blog.z3r.ru
[CVE-2025-41243] Spring Cloud Gateway: complicating evaluation context
Bypassing some restrictions in Spring Cloud Gateway filters to DoS, secrets leak or RCE
👍14🔥8❤4
Forwarded from КапИБара. Подкаст нулевого дня 🎧
⚡️🎙 Представляем 11-й выпуск подкаста «КапИБара» и опять с гостем!
В этот раз к нам на спич заглянул Всеволод Кокорин aka Slonser, автор блога "Заметки Слонсера". Поговорим про пентест, redteam, изучение кода, BugBounty, поиск RCE, репорт CVE и другие весёлые занятия белых хакеров.
Все аудио площадки где можно нас услышать - размещены здесь (на некоторых площадках подгрузка и стабильная работа осуществляется в течении 24-ёх часов).
Отдельно выделим наши флагманские площадки - Яндекс и Apple
+ появилась возможность слушать прямо в ТГ
Также в видео формате под приятную анимацию нас можно послушать на:
RuTube
YouTube
VK
Слушайте, оставляйте комментарии и советуйте друзьям 😁🎧
КапИБара. Подкаст нулевого дня. Подписаться
В этот раз к нам на спич заглянул Всеволод Кокорин aka Slonser, автор блога "Заметки Слонсера". Поговорим про пентест, redteam, изучение кода, BugBounty, поиск RCE, репорт CVE и другие весёлые занятия белых хакеров.
Все аудио площадки где можно нас услышать - размещены здесь (на некоторых площадках подгрузка и стабильная работа осуществляется в течении 24-ёх часов).
Отдельно выделим наши флагманские площадки - Яндекс и Apple
+ появилась возможность слушать прямо в ТГ
Также в видео формате под приятную анимацию нас можно послушать на:
RuTube
YouTube
VK
Слушайте, оставляйте комментарии и советуйте друзьям 😁🎧
КапИБара. Подкаст нулевого дня. Подписаться
Podcast.ru
КапИБара. Подкаст нулевого дня. (Кибербезопасность, ИТ и не только) – Podcast.ru
Подкаст "КапИБара" — это простой и увлекательный разговор на темы информационной безопасности, кибербезопасности и ИТ в целом. Мы обсуждаем ситуации и события из мира ИБ, делимся опытом, шутим и иногда отвлекаемся на интересные истории. Здесь найдётся что…
🔥20👍7❤1
Сьездили на SAS второй год подряд
Пока остаётся топ 1 инфосек конференцией из тех где я был, и в плане организации и в плане докладов - уровень к которому нужно стремиться многим организаторам
Ну и конечно поиграли CTF, взяли топ 1, что всегда приятно
Надеюсь увидимся со всеми на SAS 2026
Пока остаётся топ 1 инфосек конференцией из тех где я был, и в плане организации и в плане докладов - уровень к которому нужно стремиться многим организаторам
Ну и конечно поиграли CTF, взяли топ 1, что всегда приятно
Надеюсь увидимся со всеми на SAS 2026
❤52🔥36👍12🐳2
Forwarded from HaHacking
Media is too big
VIEW IN TELEGRAM
[1080p][480p] К слову, обновила статью: с момента написания ВСЕ упомянутые браузерные расширения кошельков подтянулись и реализовали UI элементы, которые бы показывали пользователю домен, с которого пришёл запрос, вместо того, что указал разработчик dApp'а в TON манифесте! Жаль, что в остальных форматах это пока неприменимо;
🌐 ‟Down the Drain: Unpacking TON of Crypto Drainers”
Что ж, работаем дальше!
А вот Павел Дуров удивился, что кого-то скамили через мини-приложения в Telegram – о чём он узнал на форуме Blockchain Life, опросив аудиторию;
💬 Кстати, в этот раз на Pentest Awards был крутой кейс, занявший 1 место в номинации "Ловись рыбка":
🌐 ‟OTP — не проблема! Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2”
В рамках него рассматривается использование мини-приложений Telegram в фишинговых кампаниях и redteam проектах.
@HaHacking
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤11👍4🔥4🥰3
На неделе спросили раза 4 почему я юзаю Caido, а не Burp Suite
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Хабр
Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
Предисловие Данная статья посвящена прокси Caido. В русскоязычном пространстве довольно мало материалов, которые посвящены Caido, а в последнее время меня часто спрашивали, почему я использую Caido, а...
21❤28🔥8😐7👍2🤯2
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
7👍57🔥26❤7
Очень крутой доклад с TROOPERS25
Такого хорошо собранного материала в одном месте по CSS атакам ещё не видел
https://www.youtube.com/watch?v=Owp-mHUyg9I
Такого хорошо собранного материала в одном месте по CSS атакам ещё не видел
https://www.youtube.com/watch?v=Owp-mHUyg9I
YouTube
TROOPERS25: Scriptless Attacks - Why CSS is My Favorite Programming Language
More impressions:
/ wearetroopers
/ ernw_itsec
https://infosec.exchange/@WEareTROOPERS
https://infosec.exchange/@ERNW https://ernw.de
#TROOPERS #ITsecurity #ERNW
/ wearetroopers
/ ernw_itsec
https://infosec.exchange/@WEareTROOPERS
https://infosec.exchange/@ERNW https://ernw.de
#TROOPERS #ITsecurity #ERNW
🔥19💅7
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
npx create-next-app
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
4❤36🤯16🔥8💅3😁2
Вот и подходит уже новый 2026 год. Так что пора подвести черту 2025 года, а так же подумать что нас ждёт в 2026 году. Букв много, можете просто прочитать послесловие)
[Выступления]
В этом году получил первый масштабный опыт выступления на международных конференциях, выступать в Японии и Корее оказалось не простым вызовом. Но обрадовала, что реакция публики была положительной - https://metamask.io/news/metamask-security-report-march-2025
Ну и по традиции повыступал где хватило времени в России. Пытаюсь слишком часто из дома не вылазить (Так как не хочу рассказывать одно и тоже по кругу, да и будет грустно если мое лицо публике наскучит)
Но до сих пор всегда рад прийти на чашечку чая (или чего покрепче) на коммьюнити конфы
[Движуха]
Не очень много участвую в "движе" российского ИБ сообщества, но иногда куда-то зовут.
Очень приятно всегда увидеть уже знакомые лица и ещё более приятно видеть новые лица - вы все лучшие)
Из того что запомнилось:
В Декабре было много мероприятий (сливать то бюджеты куда-то надо под конец года)
Попал на вечеринку Wildberries под новый год, хотя я сам не ханчу на ВБ - видно как ребята стараются улучшать свою программу и держать коннект с комьюнити, это золотого стоит. Можете подписаться на них и занести "CRITICAL SELF RCE" под бой курантов, чтобы не расслаблялись на дежурстве)
Так же в декабре попал на ивент на тинька, багов не особо не занес. По традиции занес 1 багу и забрал "Мамину радость" за лучшееИИ оформление отчетов. Забавно что этот ивент вынудил меня сдать первый баг на стендоффе за год, но об этом позже. Так что любимый желтый банк не забываем, ребята как были солнышками так и остаются, ничего не меняется.
Ну и конечно отдельный респект ребятам из VK и бессменным царям их программы @s3n_q и @wellenc_lex. Кажется мало кто будет спорить если я скажу что из Российских компаний ВК сейчас больше всего вносит в сообщество, от VK Security Confab (где мне так же посчастливилось выступать) до кальянной зоны на ZeroNights. Короче уважаемый вклад в сообщество, подпишитесь если ещё не подписаны - t.me/vk_security
[ББ]
Глава краткая, если говорить кратко, то на российском ББ я почти ничего не репортил
Было пару репортов в Яндекс и MAX, в этом году преисполнился в использовании AI агентов и сейчас пытаюсь дооформлять свои наработки в цельный рабочий тулкит, чтобы багхантить руками не пришлось
AI остается с нами на всегда, даже на моих тестах он уже успешно зарабатывает деньги, так что даже самым большим скептикам рано или поздно придется внедрить в свои процессы. Думаю уже в 2026 поделюсь инсайдами по своим решениям.
Так же думаю в первой половине 2026 можете ожидать очень громкий ресерч от меня, на который я потратил очень много сил и которым очень горжусь)
[CTF]
Ну и конечно играл в CTF, в этом году мы выпали из мирового топа 10 цтфтайм (Хоть и остаемся топ 1 командой рф). Причин тому много, первая из них - мы играли много в коллабах, например так выиграли инсомнихак в Швейцарии и играли DEFCON в Вегасе. Вторая причина - CTF требует все же время, а у членов команды его остается все меньше и меньше
Несмотря на все это - CTF это до сих пор весело, позволяет кататься по разным странам, знакомиться с интересными людьми. CTF - это жизнь, играйте в CTF.
[Послесловие]
Вообщем спасибо всем, как обычно лучшее сообщество на земле!
Многое забыл, многих не упомянул, но не со зла, нет вайба писать пост дольше 15 минут)
С наступающим вас 2026 годом, да прибудет с вами Self-XSS)
[Выступления]
В этом году получил первый масштабный опыт выступления на международных конференциях, выступать в Японии и Корее оказалось не простым вызовом. Но обрадовала, что реакция публики была положительной - https://metamask.io/news/metamask-security-report-march-2025
Ну и по традиции повыступал где хватило времени в России. Пытаюсь слишком часто из дома не вылазить (Так как не хочу рассказывать одно и тоже по кругу, да и будет грустно если мое лицо публике наскучит)
Но до сих пор всегда рад прийти на чашечку чая (или чего покрепче) на коммьюнити конфы
[Движуха]
Не очень много участвую в "движе" российского ИБ сообщества, но иногда куда-то зовут.
Очень приятно всегда увидеть уже знакомые лица и ещё более приятно видеть новые лица - вы все лучшие)
Из того что запомнилось:
В Декабре было много мероприятий (сливать то бюджеты куда-то надо под конец года)
Попал на вечеринку Wildberries под новый год, хотя я сам не ханчу на ВБ - видно как ребята стараются улучшать свою программу и держать коннект с комьюнити, это золотого стоит. Можете подписаться на них и занести "CRITICAL SELF RCE" под бой курантов, чтобы не расслаблялись на дежурстве)
Так же в декабре попал на ивент на тинька, багов не особо не занес. По традиции занес 1 багу и забрал "Мамину радость" за лучшее
Ну и конечно отдельный респект ребятам из VK и бессменным царям их программы @s3n_q и @wellenc_lex. Кажется мало кто будет спорить если я скажу что из Российских компаний ВК сейчас больше всего вносит в сообщество, от VK Security Confab (где мне так же посчастливилось выступать) до кальянной зоны на ZeroNights. Короче уважаемый вклад в сообщество, подпишитесь если ещё не подписаны - t.me/vk_security
[ББ]
Глава краткая, если говорить кратко, то на российском ББ я почти ничего не репортил
Было пару репортов в Яндекс и MAX, в этом году преисполнился в использовании AI агентов и сейчас пытаюсь дооформлять свои наработки в цельный рабочий тулкит, чтобы багхантить руками не пришлось
AI остается с нами на всегда, даже на моих тестах он уже успешно зарабатывает деньги, так что даже самым большим скептикам рано или поздно придется внедрить в свои процессы. Думаю уже в 2026 поделюсь инсайдами по своим решениям.
Так же думаю в первой половине 2026 можете ожидать очень громкий ресерч от меня, на который я потратил очень много сил и которым очень горжусь)
[CTF]
Ну и конечно играл в CTF, в этом году мы выпали из мирового топа 10 цтфтайм (Хоть и остаемся топ 1 командой рф). Причин тому много, первая из них - мы играли много в коллабах, например так выиграли инсомнихак в Швейцарии и играли DEFCON в Вегасе. Вторая причина - CTF требует все же время, а у членов команды его остается все меньше и меньше
Несмотря на все это - CTF это до сих пор весело, позволяет кататься по разным странам, знакомиться с интересными людьми. CTF - это жизнь, играйте в CTF.
[Послесловие]
Вообщем спасибо всем, как обычно лучшее сообщество на земле!
Многое забыл, многих не упомянул, но не со зла, нет вайба писать пост дольше 15 минут)
С наступающим вас 2026 годом, да прибудет с вами Self-XSS)
20❤64🔥13👍6
Заметки Слонсера
Вот и подходит уже новый 2026 год. Так что пора подвести черту 2025 года, а так же подумать что нас ждёт в 2026 году. Букв много, можете просто прочитать послесловие) [Выступления] В этом году получил первый масштабный опыт выступления на международных конференциях…
А теперь уже точно всех с новым счастьем)
Следующий бокал поднимается за вас всех!
Следующий бокал поднимается за вас всех!
3❤38🍾19🔥9
Немного на днях сгорело как же плоха работа с output MCP
Описал то что пришло в голову здесь
https://blog.slonser.info/posts/smugglle-ai-ouputs/
Описал то что пришло в голову здесь
https://blog.slonser.info/posts/smugglle-ai-ouputs/
2😁16👍9🔥7🤬1
Очень люблю ежегодное голосование от PortSwigger - отличный способ наверстать крутые ресёрчи, которые пропустил за год.
Решил собрать клиентсайдные работы, которые точно заслуживают внимания:
Make Self-XSS Great Again — от меня
Превращаем self-XSS в полноценный stored XSS через credentialless iframes + login CSRF. Плюс абьюз fetchLater() для отложенных действий после закрытия вкладки.
(Да, включать свою статью немного нескромно, но она мне реально нравится)
https://blog.slonser.info/posts/make-self-xss-great-again/
PermissionJacking: Safari Camera Hijacking — RenwaX23
Кликджекинг unfocused TCC-промптов в Safari. Race condition через resize flicker или double-click для захвата камеры/микрофона/геолокации.
https://github.com/RenwaX23/X/blob/master/safari_bug.md
Nonce CSP bypass using Disk Cache — J0R1AN
Форсим fallback bfcache на disk cache для переиспользования утёкшего CSP nonce.
https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache
Fontleak: CSS Exfiltration via Ligatures — @adragos_
CSS-only эксфильтрация данных без JS. Кастомные лигатуры + container queries помогают удобно слить всю страницу
Понравилось что при этом ещё и есть полноценная тулза.
https://adragos.ro/fontleak/
Under the Beamer — kevin_mizu
DOM clobbering через HTMLCollection + library gadget chain. Зануляем escaping-функцию в рантайме → innerHTML injection → XSS.
https://mizu.re/post/under-the-beamer
Cross-Site ETag Length Leak — @arkark_
Новый XS-Leak примитив через вариацию длины ETag.
431 статус → navigation failure → детект замены history в Chromium как оракул.
https://blog.arkark.dev/2025/12/26/etag-length-leak
XSS-Leak: Leaking Cross-Origin Redirects — salvatoreabello
Исчерпание connection pool + детерминированная сортировка хостов. Timing oracle для определения cross-origin редиректов без инъекции.
https://blog.babelo.xyz/posts/cross-site-subdomain-leak/
SVG Filters - Clickjacking 2.0 — rebane2001
Чтение пикселей cross-origin iframe через SVG filter pipelines. Многошаговый интерактивный кликджекинг.
(rebane просто переоткрыл для меня SVG)
https://lyra.horse/blog/2025/12/svg-clickjacking/
Forcing Quirks Mode + CSS Exfiltration — arkark_
PHP warnings триггерят quirks mode → ослабленные MIME-проверки. 404 reflection как CSS sink + :valid regex matching + подсчёт фреймов как оракул без сетевых запросов. Работает под strict CSP.
https://blog.arkark.dev/2025/09/08/asisctf-quals
Next.js Cache Poisoning to XSS — zhero___
Спуфинг внутренних заголовков фреймворка для кэширования SSR JSON как HTML. Cache poisoning → DoS и stored XSS через stale-while-revalidate.
https://zhero-web-sec.github.io/research-and-things/nextjs-cache-and-chains-the-stale-elixir
---
Конечно, это не полный список и без какого-либо ранжирования - просто то, что привлекло моё внимание больше всего. Думаю, вы не потеряете время, прочитав любое из этих исследований. Надеюсь, в этом году увидим ещё больше интересного
Голосование: https://portswigger.net/polls/top-10-web-hacking-techniques-2025
Решил собрать клиентсайдные работы, которые точно заслуживают внимания:
Make Self-XSS Great Again — от меня
Превращаем self-XSS в полноценный stored XSS через credentialless iframes + login CSRF. Плюс абьюз fetchLater() для отложенных действий после закрытия вкладки.
(Да, включать свою статью немного нескромно, но она мне реально нравится)
https://blog.slonser.info/posts/make-self-xss-great-again/
PermissionJacking: Safari Camera Hijacking — RenwaX23
Кликджекинг unfocused TCC-промптов в Safari. Race condition через resize flicker или double-click для захвата камеры/микрофона/геолокации.
https://github.com/RenwaX23/X/blob/master/safari_bug.md
Nonce CSP bypass using Disk Cache — J0R1AN
Форсим fallback bfcache на disk cache для переиспользования утёкшего CSP nonce.
https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache
Fontleak: CSS Exfiltration via Ligatures — @adragos_
CSS-only эксфильтрация данных без JS. Кастомные лигатуры + container queries помогают удобно слить всю страницу
Понравилось что при этом ещё и есть полноценная тулза.
https://adragos.ro/fontleak/
Under the Beamer — kevin_mizu
DOM clobbering через HTMLCollection + library gadget chain. Зануляем escaping-функцию в рантайме → innerHTML injection → XSS.
https://mizu.re/post/under-the-beamer
Cross-Site ETag Length Leak — @arkark_
Новый XS-Leak примитив через вариацию длины ETag.
431 статус → navigation failure → детект замены history в Chromium как оракул.
https://blog.arkark.dev/2025/12/26/etag-length-leak
XSS-Leak: Leaking Cross-Origin Redirects — salvatoreabello
Исчерпание connection pool + детерминированная сортировка хостов. Timing oracle для определения cross-origin редиректов без инъекции.
https://blog.babelo.xyz/posts/cross-site-subdomain-leak/
SVG Filters - Clickjacking 2.0 — rebane2001
Чтение пикселей cross-origin iframe через SVG filter pipelines. Многошаговый интерактивный кликджекинг.
(rebane просто переоткрыл для меня SVG)
https://lyra.horse/blog/2025/12/svg-clickjacking/
Forcing Quirks Mode + CSS Exfiltration — arkark_
PHP warnings триггерят quirks mode → ослабленные MIME-проверки. 404 reflection как CSS sink + :valid regex matching + подсчёт фреймов как оракул без сетевых запросов. Работает под strict CSP.
https://blog.arkark.dev/2025/09/08/asisctf-quals
Next.js Cache Poisoning to XSS — zhero___
Спуфинг внутренних заголовков фреймворка для кэширования SSR JSON как HTML. Cache poisoning → DoS и stored XSS через stale-while-revalidate.
https://zhero-web-sec.github.io/research-and-things/nextjs-cache-and-chains-the-stale-elixir
---
Конечно, это не полный список и без какого-либо ранжирования - просто то, что привлекло моё внимание больше всего. Думаю, вы не потеряете время, прочитав любое из этих исследований. Надеюсь, в этом году увидим ещё больше интересного
Голосование: https://portswigger.net/polls/top-10-web-hacking-techniques-2025
12❤27👍11💅6