ИБ-Стар(т)

🗓 29 февраля, 12:00 Мск

В этой рубрике мы рассмотрим основные принципы информационной безопасности, перспективы развития данной области, особенности сферы в России, а также ключевые навыки — как технические, так и мягкие — необходимые для успешной карьеры в этом увлекательном и важном направлении.

📚 Механика
— Что такое ИБ?
— Какие перспективы этой области?
— Из чего состоит ИБ в России
— Хард и софт скиллы
— Мотивация в ИБ
— BugBounty программы

🗣 Эксперт
Сергей Зыбнев, специалист по анализу защищенности компании Awillix.

Зарегистрироваться можно тут.

*тем, кто уже состоит в Клубе Код ИБ | ЗУБРЫ Кибербеза или в Код ИБ академии ссылка на встречу придет на почту.

Читать полностью…

Дополнение к предыдущему посту, zabbix agent умеет в ключ web.page.get, что собственно может быть использовано как ssrf и обход каких либо ограничений.

Читать полностью…

Толя, как всегда красив, умён и без ипотеки. Что будет после квартиры? Дача на 100 гектар или яхта?)

Читать полностью…

Материал про пентест 1С

Читать полностью…

Webhooks SSRF Boomerang

Сегодня хочется немного рассказать про атаки на функциональность Webhooks aka User Generated Callbacks. По сути современные веб-приложения невозможно представить без функциональности совершения каких-либо действий при наступлении определенных событий.

Согласно информации из википедии, вебхуки обычно запускаются каким-либо событием, например, отправкой кода в репозиторий или комментарием, публикуемым в блоге. Когда происходит это событие, исходный сайт отправляет HTTP-запрос на URL-адрес, указанный для вебхука. Пользователи могут настроить их так, чтобы события на одном сайте вызывали действия на другом.
Таким образом, вебхуки буквально окружают нас везде, при заказах товаров на маркетплейсах😎, интеграциях CI/CD, k8s, даже оповещения в любимые чатики в месенджерах реализовано с помощью этой технологии.

На этом закончим с теорией и перейдем к практике. Суть атаки заключается в возможности осуществить редирект вебхука для эксплуатации SSRF от имени приложения отправившего этот запрос. Но есть сложность в том, что большинство вебхуков это POST/PUT запросы, а для SSRF нам необходимо отправить GET и для этого можно использовать HTTP 303 See Other, при котором веб-сервер автоматически поменяет метод и отправит GET запрос при перенаправлении.

Данная атака применима в кейсах, когда тестируемый сервис позволяет регистрировать пользовательские вебхуки на веб-сервере под контролем атакующего с доступом к логам. По ссылке доклад с примером с баг-баунти программы Docker Hub, с раскрытием ключей AWS IMDS EKS инфраструктуры при проведении этой атаки.

Читать полностью…

❤️ ИБ и ИТ, давайте жить дружно. Вот как это возможно
#it_ib

Безопасность во многих компаниях стоит особняком. Вместо того чтобы беспокоиться о качестве вашего продукта, безопасники твердят о ГОСТах и ISO, о разных сертификациях и авторизационных протоколах — вещах важных, но вне фокуса основного архитектора. При этом их деятельность «подрывает» производительность, debugability, да вообще все.

Однако есть способы сделать безопасность своим союзником на пути к качеству. В этой статье — о дихотомии разработки и безопасности. О том, что, вообще говоря, миры информационной безопасности и архитектуры ИТ-систем не столь далеки друг от друга, как может показаться. И что на самом деле практики безопасности пересекаются с практиками повышения качества кодовой базы, а ПО можно сделать безопасным без потери качества.

📌 Недавно был на Product Meetup. Что я там забыл? Вопрос хороший, но было полезно. И там случился разговор про то, что ИТ и ИБ не понимают друг друга. Для не супер технарей, мы безопасники, кажемся им какими-то супер хацкерами, которые всё могут взломать. И дабы уменьшить недопонимание между сторонами, нашёл такую статью)

➡️ Читать далее

🌚 @poxek

Читать полностью…

⚠️⚠️⚠️⚠️⚠️Вы ждали! Вы просили! Да мы сами ждали!

Долгожданный Подкаст Just Security by Awillix #4. Из красного в синий: карьера от эксплойтов до патчей

Ведущим был я, а гостем великий усач, самая быстрая кавычка на диком западе, уважаемый Антон, он же @i_bo0om.
Получился ламповый разговор про бамбуковые трусы направления развития и мотивации ИБ-специалистов, об успехах, факапах, смешных уязвимостях и личном бренде в ИБ.

🎵 Яндекс Музыка

🎵 Apple Podcasts

💙 ВКонтакте

🤟 Mave

От себя скажу, что беседа вышла содержательная и интересная, поэтому досматривайте до конца)

❤️ @poxek

Читать полностью…

Всем спасибо кто был!!

P.S.
надеюсь получилось не сухо

Читать полностью…

если что не пугайтесь, стрим будет. Я просто с настройками телеги играюсь

Читать полностью…

🔻Mama AMA Criminal - AMA эфир

⛈ Основная повестка встречи: Проект Похек, рефлексия про прошлое и будущее, ИБ-неИБ и т.д.

📆 Дата: 25 февраля (воскресенье [завтра]), 14:00

⏺ Запись встречи будет

🌚 @poxek

Читать полностью…

Минцифры ещё принесла работы багхантерам)
Ещё и платят неплохо! 🪙

Читать полностью…

🛡 Разбираемся с Шиндоус
#windows

👥 Коллеги админы каналов занимаются копанием в Windows системах, я тоже внесу свой вклад в данный процесс)

🔎 Многие слышали про DLL Injection, DLL Side Load. Но есть ещё множество других интересных техник по манипулированию процессами Windows. Нашёл репозиторий для вас, где объясняется принцип каждый техники и даже приводится практические примеры к некоторым техникам.

1️⃣BlockingDLL

2️⃣CloneProcess

3️⃣CommandLineSpoofing

4️⃣DarkLoadLibrary

5️⃣GhostlyHollowing

6️⃣Misc

7️⃣PhantomDllHollower

8️⃣PPIDSpoofing

9️⃣ProcessDoppelgaenging

0️⃣ProcessGhosting

1️⃣0️⃣ProcessHerpaderping

1️⃣1️⃣ProcessHollowing

1️⃣2️⃣ProcMemScan

1️⃣3️⃣ProtectedProcess

1️⃣4️⃣ReflectiveDLLInjection

1️⃣5️⃣sRDI

1️⃣6️⃣TransactedHollowing

1️⃣7️⃣WmiSpawn

⤵️ Также в репозитории вы найдете ссылки для дополнительного изучения этих техник

🔗 https://github.com/daem0nc0re/TangledWinExec

🌚 @poxek

Читать полностью…

🪲 Вам доставка: Ozon расширяет скоуп

В списке уже доступных для исследования ресурсов появились целых шесть новых:

🔵*.finance.ozon.ru — все домены и поддомены «Ozon Банка»,
🔵api-seller.ozon.ru — API для селлера,
🔵pvz.ozon-dostavka.ru — инструмент управления заказами и пунктами выдачи,
🔵chatzone.o3team.ru — корпоративный мессенджер (десктоп-версия и мобильные приложения),
🔵performance.ozon.ru — рекламный кабинет продавца,
🔵dev.ozon.ru — ресурс для разработчиков, использующих публичные API Ozon.

В зависимости от критичности найденные баги могут принести до 250 тысяч рублей.

Читайте подробности на платформе. Скорей ресерчить! :)

Читать полностью…

💻Хакер к вам на хост проник? Обнаружим его WMIг!💻
https://telegra.ph/Detecting-wmiexec-Pro-10-28

Разбираем замечательную утилиту wmiexec-Pro, которая приходит на помощь, когда на целевом хосте закрыты SMB, WinRM и RDP. Утилита представляет собой усовершенствованную версию скрипта wmiexec.py из набора Impacket👩‍💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡

Красным командам советую взять на вооружение🛠

🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎
А все начиналось с whoami as a SYSTEM...

#пентест #блютим #DFIR

Читать полностью…

🚨Хватит запрещать! Пора обучать!

Информационная безопасность перестает быть карающим контролером для сотрудников, а превращается в доверенного советника. Сегодня фокус сместился в сторону человека - такой подход называют People-Centric Security.

21 февраля 2024 года в 11:00 компания Cloud Networks проводит открытый вебинар «Инструменты и практики повышения уровня грамотности сотрудников в сфере ИБ», посвященный теме «человекоцентричной безопасности», на котором совместно с партнером Phishman расскажет о современных ИБ-практиках и платформе, которая обеспечивает системное обучение культуре информационной безопасности в компаниях среднего и крупного бизнеса.

Программа вебинара:

🌟Концепция People-Centric Security (PCS) и предпосылки ее возникновения
🌟Важность подхода PCS (People-Centric Security) для устойчивости бизнеса и безопасности современной компании
🌟 Статистика утечек в 2023 году
🌟Тенденции кибербезопасности 2023 года
🌟Подход системы Phishman
🌟Демонстрация решения Phishman

Для кого: мероприятие будет интересно руководителям ИБ-подразделений и сотрудникам, ответственным за безопасность, а также руководителям HR-отделов.

Участие бесплатное по предварительной регистрации

Техническим партнером вебинара является компания Axoft - центр экспертизы и дистрибуции цифровых технологий.

РЕКЛАМА. ООО "ОБЛАЧНЫЕ СЕТИ", ИНН 7709470400

Читать полностью…

🖼️ Кто такие специалисты по безопасной разработке и где на них учиться

Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.

🖼️ Кто же такие «аппсеки»? Обычно под «аппсеком» (в широком понимании) подразумевают любого специалиста по безопасной разработке. Участвуешь в безопасности CI/CD? Тестируешь приложения на проникновения? Проходишь оценку уровня доверия? Пишешь безопасный код? Ух, да ты «аппсек»…

➡️ Читать далее

🌚 @poxek

Читать полностью…

Написал немного заметок про zabbix и интересные возможности.
читать

Читать полностью…

🤷‍♂️ Знаний о классах уязвимостей часто оказывается недостаточно для поиска багов.

На митапе для профи Standoff Talks Анатолий Иванов, руководитель багбаунти Standoff 365, рассказал, как обнаружить необычное поведение в веб-приложении и сконвертировать его в уязвимость.

Предложенный фреймворк поможет сделать это в четыре шага.

Читай и делись с друзьями!

Читать полностью…

🖼️ Автоматизируем сборку и деплой приложения в GitLab CI/CD: подробное руководство с примерами
#devops #k8s #docker

При разработке приложений рано или поздно наступает момент, когда заниматься развёртыванием вручную становится затратно и неудобно. Как следствие на помощь приходит автоматизация этого процесса с помощью специально настроенных пайплайнов непрерывной интеграции и непрерывной доставки (Continuous Integration & Continuous Delivery — CI/CD). Для разных систем управления репозиториями исходного кода существуют свои способы настройки CI/CD.

В этой статье мы рассмотрим, как использовать GitLab для организации автоматической сборки и деплоя приложения в кластер Kubernetes. Сам кластер будет работать под управлением Deckhouse Kubernetes Platform (код приложения и процесс настройки кластера авторы описывали в предыдущей статье цикла), а автоматизировать процесс будем с помощью werf — Open Source CLI-утилиты, организующей полный цикл доставки приложения в Kubernetes и использующей Git как единый источник истины для состояния приложения, развёрнутого в кластере.

➡️ Читать далее

🌚 @poxek

Читать полностью…

Как обойти защиту CloudFlare и узнать настоящий IP-адрес веб-ресурса? #CloudFlare

СПО для обнаружения реального IP-адреса за CloudFlare:

▫️https://github.com/spyboy-productions/CloakQuest3r
▫️https://github.com/m0rtem/CloudFail
▫️https://github.com/zidansec/CloudPeler

Иные продукты для вскрытие CloudFlare:

▫️https://dnsdumpster.com/ или https://pulsedive.com/
▫️https://www.virustotal.com/ (см. вкладку "relations")
▫️https://urlscan.io/ (в случае индексации до включения CloudFlare)
▶️ Подписывайтесь на :
✅ Intel Fusa Osint Edition

Читать полностью…

Docker Security – Step-by-Step Hardening

Самый подробный гайд о безопасной настройке Docker в 2024 году. Шаг за шагом руководство обучит харденить докер — цель не просто представить сухой список параметров и готовые фрагменты конфигурации, а расписать все подробно и кратко.

Intro
— Prerequisites
— Secure configuration

Docker Host
— Working Environment
— Configuration audit
— Lynis
— Docker Bench for Security

Docker Daemon
— Access control to Docker Daemon
— Securing docker.sock
— Granting and revoking permissions
— Avoiding privileged mode
— Access to devices
— Blocking the ability to “granting” (acquiring) permissions
— Privilege escalation and Linux namespaces
— Rootless mode
— Container communication (container isolation)
— Read-only mode
— Resource utilization control
— Connecting to a remote Docker Daemon
— Event logging

Containers Security
— Selecting the Right Image
— Docker Content Trust (DCT)
— Using your own images
— Docker build and URL
— “latest” tag
— USER command
— Force UID
— .dockerignore

Automatic images scanning
— Trivy
— Docker Scout

Core
— AppArmor
— Seccomp
— SELinux

Misc
— The final piece of the puzzle – application security
— Docker Desktop Security
— Updating Software
— Additional sources of knowledge – where to find information about vulnerabilities
— History of Changes
— Support & Feedback

Читать полностью…

👨‍💻 Как действовали хакеры на ноябрьском Standoff 12. Разбираем цепочку атак на космолифт и не только
#standoff #poxek

В ноябре 2023 года мир был свидетелем кибербитвы Standoff, которая длилась несколько дней. Пятнадцать команд этичных хакеров провели серию впечатляющих технических ходов. Атакам подверглись все представленные на киберполигоне отрасли.

На нем воссозданы технологические и бизнес-процессы реальных компаний, обеспечивающих жизнедеятельность целых стран: нефтеперерабатывающий завод, банки, МФЦ и многое другое. В минувшем сезоне кибербитвы Standoff в Государстве F появилась новая компания — CosmoLink Labs. По легенде, CosmoLink Labs была создана в качестве инновационного центра для разработки и проведения космических исследований. Появление нового сегмента привлекло внимание мировых киберпреступников, которые решили использовать эту уникальную локацию в своих целях.

⚡️ Максимально рекомендую к прочтению

🔜 Читать далее

🌚 @poxek

Читать полностью…

Вопросы задаем голосом или в чат в комменты

Читать полностью…

успеем до стрима собрать 6к?))

Читать полностью…

Эксплуатация уязвимостей в Deeplink и Webview

Цикл статей из двух частей (раз и justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1">два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.

Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.

justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1">Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.

Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.

#android #deeplink #webview

Читать полностью…

🪲 У нас — новая программа от Минцифры, у вас — баунти до полумиллиона

На этот раз предлагаем изучить скоуп «Госвеба» — единой платформы официальных государственных сайтов.

Для исследования вам доступны домен gosweb.gosuslugi.ru и все поддомены *.gosweb.gosuslugi.ru.

Максимальная выплата по программе — 500 000 рублей. 

Перейти на платформу

Читать полностью…

CVE-2024-23724: Ghost CMS Stored XSS Leading to Owner Takeover

Все гениальное — просто. В Ghost CMS, которую сегодня использует половина интернета (включая крупные компании, вроде OpenAI, Mozilla и Apple, и небольшие блоги, например, — небезызвестный Offensive OSINT), нашли XSS.

Забавно то, что сыграл самый простой пэйлоад — SVG с Javascript'ом внутри в качестве аватарки, без каких-либо модификаций — готовый файл с PayloadsAllTheThings.

Research: https://rhinosecuritylabs.com/research/cve-2024-23724-ghost-cms-stored-xss/
Exploit: https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2024-23724

Читать полностью…

❤️ Полный разнос
#windows

FullBypass - инструмент, который обходит AMSI (AntiMalware Scan Interface) и PowerShell CLM (Constrained Language Mode) и предоставляет вам полноязычную обратную оболочку PowerShell.

🎚Т.к. проект на C#, то придётся притащить на атакуемую систему FullBypass.csproj. Далее нужно будет запустить с помощью msbuild.exe

C:\windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe .\FullBypass.csproj

🛡 Как это работает:
1. Сначала код обходит AMSI, используя метод memory hijacking, и переписывает некоторые инструкции в функции AmsiScanBuffer. С помощью инструкции xor аргумент size будет равен 0, и AMSI не сможет обнаружить будущие скрипты и команды в powershell.
2. Вторым проходом код перепроверяет, успешно ли он перезаписал функцию AmsiScanBuffer.
3. Скрипт вернет 0, то бишь True и спросит вас IP и Port куда стучаться revshell'у
4. Ловим FullLanguage сессию у себя на машине.

🏃 Краткая справка чем отличается FullLanguage от ConstrainedLanguage:
FullLanguage session:
- Это сессия PowerShell, в которой разрешено использование всех функций и возможностей языка PowerShell.
- Пользователи и скрипты могут создавать, изменять и удалять объекты .NET, выполнять сложные скрипты, определять новые функции, классы и многое другое.
- Этот режим предоставляет полный доступ к PowerShell и его особенностям.

ConstrainedLanguage session:
- Это сессия PowerShell, ограниченная в использовании некоторых функций языка и возможностей для повышения безопасности системы.
- В ограниченном языковом режиме доступ к ряду средств программирования, таких как добавление новых типов, доступ к частным методам и т.д., становится ограниченным.
- ConstrainedLanguage предназначен для сокращения поверхности атаки и предотвращения выполнения потенциально нежелательных или вредоносных скриптов.
- Этот режим часто используется в сценариях, когда необходимо обеспечить высокий уровень безопасности, к примеру, на рабочих станциях, находящихся под контролем через AppLocker или Device Guard.


🌚 @poxek

Читать полностью…

​​​🏆Топ-10 техник веб-хакинга в 2023 году по версии PortSwigger

Традиционная номинация от Portswigger, цель которой — выявить самые значимые исследования в области веб-безопасности, опубликованные в 2023 году.

Каждая статья в списке заслуживает внимание и, если вы еще не ознакомились, то крайне рекомендую.

Ссылка на статью

#web

Читать полностью…

🖼️ Distroless Контейнеры или минимализм ради безопасности и эффективности

В эпоху, когда любой проект зависит от модулей (да-да, log4j тому яркий пример) концепция distroless контейнеров от Google выступает как маяк безопасности. Эти контейнеры, лишенные лишнего балласта в виде стандартных инструментов и библиотек операционных систем, представляют собой идеальное сочетание минимализма и функциональности. Но что делает их такими особенными и почему они становятся неотъемлемой частью современной разработки и кибербезопасности?

🤨 Что это такое

Distroless контейнеры — это как "рюкзаки" для вашего приложения, в которые вы кладете только самое необходимое для путешествия. Если обычный контейнер — это рюкзак, в который вы упаковали не только теплую куртку, но и кучу вещей "на всякий случай", которые в итоге только занимают место и утяжеляют ваш багаж, то distroless контейнер очень легкий и содержит только то, что действительно нужно вашему приложению для работы.

🤨 Как это работает

Ключ к созданию distroless контейнера лежит в использовании минимального базового образа, который включает в себя только необходимые библиотеки и зависимости для запуска конкретного приложения. Google предоставляет несколько таких базовых образов через свой проект google/distroless на 💻 GitHub, которые поддерживают языки программирования, такие как Java, Python (применяется в проекте), Go (применяется в проекте), Node.js и другие.

Спасибо @szybnev за рекомендацию

🤨 Что в них такого особенного

🔵 Углубленная Безопасность

Отсутствие shell и лишних утилит сокращает векторы атак, затрудняя эксплуатацию уязвимостей злоумышленниками.

🔵 Эффективность и Производительность

Минимализм distroless контейнеров ведет к уменьшению их размера, что обеспечивает более быструю доставку и развертывание приложений. Да, не такой уж и важный фактор в домашних условиях, но для микросервисной архитектуры это очень хороший способ уйти от 40-минутного развёртывания одного проекта 🥺.

🤨 За пределами очевидного

🔵 Статическая связь как искусство — Distroless контейнеры идеально подходят для статически слинкованных приложений, где все необходимые библиотеки включены непосредственно в исполняемый файл.

🔵 Упрощение CI/CD — Интеграция в процессы непрерывной интеграции и доставки становится более стройной и эффективной благодаря сокращению времени сборки и развертывания, что способствует более быстрому циклу разработки.

Разберём на примере 💻 Gitlab CI/CD и 💻 Kubernetes

FROM golang:1.21.4 AS build

WORKDIR /src
COPY . .
RUN CGO_ENABLED=0 go build -o /bin/app

FROM gcr.io/distroless/base-debian10
COPY --from=build /bin/app /

CMD ["/app"]

❕ Пример использования в gitlab-ci.yml

stages:
  - build
  - deploy

variables:
  # Указываем ваш registry
  DOCKER_IMAGE_NAME: $CI_REGISTRY

build:
  stage: build
  image: docker:19.03.12
  services:
    - docker:19.03.12-dind
  script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker build -t $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA .
    - docker push $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA

deploy:
  stage: deploy
  image: alpine:latest
  script:
    - apk add --no-cache kubectl
    - kubectl config set-cluster default --server=$KUBE_SERVER --certificate-authority=/etc/deploy/ca.pem
    - kubectl config set-credentials default --token=$KUBE_TOKEN
    - kubectl config set-context default --cluster=default --user=default
    - kubectl config use-context default
    # Указываем использование нашего Distroless контейнера
    - kubectl set image deployment/my-deployment my-container=$DOCKER_IMAGE_NAME:$CI_COMMIT_SHA --namespace=my-namespace
  only:
    - main

😜 Заключение

Distroless контейнеры от Google предлагают уникальный подход к развертыванию приложений, где безопасность и эффективность идут рука об руку с минимализмом и функциональностью. Эта технология открывает новые горизонты для разработчиков, стремящихся к созданию легковесных, безопасных и высокопроизводительных приложений.

#devsecops

Читать полностью…