Bo0oM - I <"3 XSS
H D, Pavel Rukavishnikov - Blind XSS
Ivan Chalykin - Key methods of CSP bypassing
Sergey "BlackFan" Bobrov - BugBounty Automation
Andrey "L1kvID" Kovalev - Introduction into browser hacking
Alexey "SooLFaa" Morozov - Misconfiguration in development infrastructure
Alexey "GreenDog" Tiurin - (A)typical vulnerabilities
Omar "Beched" Ganiev - PHP insecurity stack
Pavel "Paul_Axe" Toporkov - PHP unserialize
Alexandr "Webr0ck" Romanov - Spel injection
Egor "ShikariSenpai" Karbutov & Sergey "BeLove" Belov - Defense. Change my mind!

#knowledge #beginners #professional

Смешная штука. Если хотите козырнуть знаниями в области веб-уязвимостей, блесните своей эрудицией и спросите своего собеседника за XST (Cross-Site Tracing).

Я не особо погружался в уязвимости связанные с работой метода TRACE на сервере. Понятно, что можно узнать некоторую полезную информацию о внутренних адресах или о том, какие заголовки добавляет прокси-сервер при запросе к веб-серверу. Но недавно случайно наткнулся на такую атаку (XST), возможную из-за включенного метода TRACE на сервере.

В общем, т.к. обращение с методом TRACE к серверу возвращает содержимое самого запроса, в этом содержимом можно обнаружить Cookie данные и прочитать их, соответственно не имеет значения ставился ли на них флаг httpOnly. Атаку можно провести только в связке с другой уязвимостью, например, XSS. Т.е. отправить TRACE запрос на текущий веб-сервер и, при чтении ответа, получить Cookie данные, недоступные нам из JS (В современных браузерах такая возможность устранена).

Пример нагрузки для получения заголовков запроса не доступных из JS:
var xhr = new XMLHttpRequest();
xhr.open('TRACE', 'http://domain.ru/', false);
xhr.send(null);
if(200 == xhr.status)
alert(xhr.responseText);

Также следующая нагрузка имеет право на жизнь:
TRACE /<script>alert(42)</script> HTTP/1.0

Только в случае если эти данные сохранятся в логи и отрендерятся на какой-нибудь из страниц веб-приложения. Само по себе отражение такого контента (HTML-тегов) в ответе на TRACE запрос к XSS привести не может, по ряду причин.

+ одна бесполезная уязвимость в копилку вебера;)

#hacking #professional

Под руку попался очень полезный ресурс со слитыми базами паролей. Обычно такие ресурсы могут устанавливать только факт утечки пароля или E-mail адреса, но сами данные они не возвращают.
В данном случае, можно получить описание всех данных, которые были украдены.
Поиск можно производить не толко по E-mail адресу, но и по доменному имени или URL.

https://intelx.io/

P.S. Триалка на просмотр действует неделю, но вы сами знаете, что с этим делать.

#hacking #inTheWild #professional

Действительно очень интересная статья про простоту устройства современных систем для паркинга. Не взлом карт метро конечно, но тоже очень любопытно.

https://habr.com/post/431570/

#knowledge

Кто-то из подписчиков уже знает, что я писал вопросы и методичку по Анализу защищенности приложений для сертификации Лаборатории Касперского.

Сертификация стала доступна для прохождения, примерно, с месяц назад, и я сразу же запросил код для ее опытной эксплуатации.

Сертификация эта представляет из себя тест из 100 вопросов по 9 темам:

- Основные понятия кибербезопасности
- Криптография
- Архитектура компьютера
- Сетевая безопасность
- Операционные системы
- Безопасность приложений
- Анализ вредоносного программного обеспечения
- Реагирование на инциденты и компьютерная криминалистика
- Промышленная кибербезопасность

Сдать удалось с первого раза, моих вопросов мне досталось не более 10 штук (Может 6-7), в остальном были интересные вопросы по прикладным вещам, иногда сложные, иногда простые.
(Были и те, что казались нежелательными, но тут спорить бессмысленно).

В целом подобная проверка знаний, в случае если она была проведена с наблюдением за участниками, гарантирует наличие у экзаменуемых некоторый, достаточно глубокий, уровень знаний в области ИБ и прикладных ее аспектах.

Можете ознакомиться с программой по прикрепленному ниже файлу.

#knowledge

Знакомимся с HTTP/3!

FYI, Daniel Stenberg (автор cURL-а, входит в состав рабочей группы HTTPbis и QUIC) дописал док, в котором он знакомит нас с HTTP/3

https://github.com/bagder/http3-explained

И кстати в соседней репе можно найти небольшой материал по HTTP/2, для тех кто еще не успел с ним познакомиться

#knowledge #beginners

Для тех кто хочет подтянуть понимание работы ОС Линукс @bykva создал отличный ресурс с лекциями и заданиями: http://linux.myctf.ru

Материал очень увлекает, особенно если читаешь его с уже имеющимся бэкграундом. По мере прочтения многое встаёт на свои места и ты начинаешь видеть полную картину работы этого непросто механизма.

#hacking #knowledge #professional

Рубрика InTheWild. Чего не встретишь на просторах сети... Во время тестирования приложений мы ищем зацепки при помощи догадок, вроде: "А что если ...?". Дело в том, что нужно иметь набор таких "А что если ...?", т.к. бывают вещи, которые тебе и в голову бы не пришли, а проверить стоило бы. Одна из таких вещей продемонстрирована ниже:

// Show info by typing code 'dev'
var code = 'dev';
$(window).keydown(function (event) {
    if (event.keyCode == '68' && code == 'dev') {
        code = 'ev';
    }
    if (event.keyCode == '69' && code == 'ev') {
        code = 'v';
    }
    if (event.keyCode == '86' && code == 'v') {
        $('div[dev=true]').remove();
        $('input[type!=button],textarea').each(function () {
            var area = $(this);
            var div = $('<div/>').attr('dev', 'true').html(area.attr('id'));
            area.after(div);
        });
        $('span[dictlink]').show();
        code = 'dev';
    }
});

Это код на одном из крупных веб-приложений одной коммерческой компнии. Выполняет он следующее, если пользователем были нажаты клавиши 'd', 'e', 'v', то отображается отладочная информаци о различных полях и html-объектах на странице.

Зачем это оставлять в продакшне? ;)

#knowledge

Зачитался немножко про UUID и GUID, и наткнулся на фразу, которая вообще-то не нова, но когда ты пытаешься ее осмыслить - разрывает мозг.

Общее количество уникальных ключей UUID составляет 2^128 = 256^16 или около 3,4 × 10^38. Это означает, что генерируя 1 триллион ключей каждую наносекунду, перебрать все возможные значения удастся лишь за 10 миллиардов лет.

Для тех, кто когда-либо задумывался о переборе GUID.

#ctf

Кстати, раньше был канал с врайтапами для CTF, но он быстро загнулся и только недавно я открыл для себя новый. Очень удобно использовать его вместо входа на ctftime.org.

@ctfwriteups

#hacking #socialEngineering #tools

Опубликовал давно написанный скрипт для отправки почты по заданным адресам с применением всяких фишек.

Скрипт для рассылки почты умеет:

- подделывать заголовок From
- использовать мисконфигурацию почтового сервера и отправлять письма без авторизации
- отправлять письма через сервисы с SSL. (Поддерживает работу по портам 25, 465, 587)
- подставлять скрытые изображения (Хуки - Hooks), ссылки на которые задаются в файле конфигурации
- отправлять файлы, разрешенные к отправке на используемом почтовом сервере

https://github.com/empty-jack/MailHammer

P.S. Надеюсь будет время развивать его. Также публикую его чтобы хранить последнюю его версию в одном месте. Pull-реквесты приветствуются.

#hacking #socialEngineering

К предыдущему посту публикую репозиторий с шаблонами различных почтовых веб-клиентов, которые можно использовать в социальной инженерии.

Каждый из шаблонов умеет логировать принимаемые данные в лежащий рядом файл log.txt с помощью PHP скрипта.

https://github.com/empty-jack/WebMail-Login-Pages

Enjoy:)

#knowledge #redteam #pentest

Заметки на полях

Если вы очутились на машине заказчика и у вас нет времени бегать по папкам и смотреть какие документы где лежат - быстрое решение - посмотреть файлик index.dat

Он находится в \AppData\Roaming\Microsoft\Office\Recent\index.dat и показывает какие файлы открывались последними в различных приложениях MS Office.

Это могут быть какие-то интересные файлы с кредами или сетевой информацией. Найти нужный файл гораздо легче, зная его имя)

#redteam

#knowledge #hacking

Говорят, что история PS очень детально изложена по указанному пути. Если забрались на тачку админа, почему бы не посмотреть.

P.S. На Windows 7 и 8.1 таких файлов обнаружить не удалось. Возможно дез. инфа) Ждем проверки на Windows 10

#misc

Оставлю это здесь, может для кого-то, а может для себя самого.

Этот год был очень успешным для меня.

- Решил все задачи в категории Web-servers на root-me.org
- Попасть в команду пентестеров Bi.Zone — это серьезно
- Взял призовое (третье) место в PHDays Competitive Intelligence и первое место в хак. квесте Defhack PHDays 2018
- Поучаствовал в финалах крупнейших Российских CTF турниров: RUCTF (LC↯BC), VolgaCTF (Bi.Zone)
- Попал в зал славы Яндекса
- Побывал на конференции HITCON и затащил там с друзьями пару местечковых CTF'ов
- Собрал команду и организовал M*CTF2018, испытал свои организационные навыки и наконец-то написал свой Attack-Defense сервис
- Взял первое место в Qiwi & Wallarm HackQuest на OFFZone (Наконец-то первое место среди серьезных соперников)
- Завел Telegram-канал и набрал полторы сотни подписчиков 😄
- Собрал огромную базу знаний из различных областей ИБ, содержащую все, с чем я сталкивался в практике
- Познакомился с огромным количеством людей из списка тех, что раньше мне казались недосягаемыми.

Теперь я должен заречься, что в следующем году достигну еще больших результатов. Посмотрим что получится..

Спасибо, @bykva!

С новым годом, друзья!

Привет-привет всем кто это читает!

От всей души хочу поздравить вас с новым годом!

Пожелать всем вам, любителям информационных технологий, в новом году всего самого наилучшего. Пусть ваше стремление получать новые знания и развиваться никогда не угаснет. Пускай ваше окружение всегда соответствует вашим ожиданиям - как коллег, так и друзей. Чтобы вы никогда не теряли веру в себя и не опускали руки, чтобы стремились к своей цели и успешно ее достигали. А если у вас еще такой цели нет - желаю чтобы вы смогли оторваться от дивана и начать движение в нужном направлении.

Хотелось бы сказать спасибо тем, кто давал советы и комментировал посты, благодаря вам до всех остальных доходил более качественный контент. К сожалению из-за нагрузки не удалось сделать все что задумывалось, но надеюсь что смогу реализоавть это в следующем году. (особенно ту литературу которую я собрал но так и не выложил).
Отдельное спасибо всем тем кто поддерживал меня в этом году, кто критиковал, кто хвалил. Даже те люди которые просто уходят не обернувшись позволяют переосмыслить то что происходит и поменять курс.

И вообще отдельно хотелось бы поздравить всех тех кто не так давно завели свои канальчики и мне кажется они заслуживают своего отдельного внимания. Это такие замечательные ребята: @mis_team @YAH_Channel @it_christ @H1_matherfucker ну и естественно Артему (@SysadminNotes)

В общем, живите и процветайте! И ловите клевый арт от @Morven13 - новая совунья вам в чятик =) Спасибо ей большое!

Ваш буква.

#knowledge #hints

Упрощу жизнь паре личностей)
Для тех кто сталкивается с необходимость уточнить коды ASCII есть способ быстрее, чем использовать Google.

man ascii