OWASP Zed Attack Proxy (ZAP): Инструмент для анализа безопасности веб-приложений

⚡️ OWASP Zed Attack Proxy (ZAP) — это бесплатное решение для тестирования безопасности веб-приложений, созданное проектом OWASP (Open Web Application Security Project). Благодаря своей простоте и функциональности, ZAP подходит как для новичков, так и для опытных специалистов.


⚡️ Основные особенности
⚡️ Перехватывающий прокси - ZAP действует как посредник между браузером и веб-приложением. Он перехватывает весь трафик, позволяя его анализировать и изменять в реальном времени. Это особенно полезно для понимания внутреннего устройства приложений и выявления уязвимостей.

⚡️ Автоматическое сканирование - инструмент обнаруживает популярные уязвимости, такие как SQL-инъекции, XSS и другие. Этот процесс требует минимального участия пользователя, что экономит время.

⚡️ Пассивное сканирование - анализирует передаваемый трафик, не влияя на работу приложения. Такой подход позволяет найти потенциальные уязвимости без риска для системы.

⚡️ Ручное тестирование - включает функции краулера, фуззера и сканера портов. Эти инструменты помогают глубже изучить веб-приложение и протестировать его на устойчивость к атакам.

⚡️ Расширяемость - ZAP поддерживает установку плагинов, которые позволяют адаптировать инструмент под конкретные задачи или добавлять новые функции.


⚡️ Режимы работы
ZAP предлагает несколько режимов, подходящих для различных сценариев:
- Стандартный - обычное сканирование.
- Безопасный - исключает любые действия, которые могут навредить системе.
- Защищённый - имитация безопасных атак.
- Атакующий - агрессивный режим, направленный на выявление максимального числа уязвимостей.


⚡️ Простота использования
Интерфейс ZAP интуитивно понятен. Инструмент доступен для Windows, Linux, macOS, а также в виде контейнера Docker. Для macOS и Windows установка не требует сложной настройки, а в Linux потребуется предустановленная Java.


⚡️ Практика
⁃ Установите OWASP ZAP на свою операционную систему.
⁃ Настройте инструмент для работы в качестве прокси-сервера.
⁃ Проведите пассивное сканирование любого тестового сайта (например, OWASP Juice Shop).
⁃ Найдите хотя бы одну потенциальную уязвимость и сделайте её скриншот.

Под руководством опытных кураторов вы поймете, как организовать мониторинг безопасности IT сегмента предприятия — какие процессы внедрить и как это сделать? 😎

🔴 Стартуем 17 апреля. Регистрация здесь.

На курсе вы изучите:
⭐️ Моделирование угроз безопасности информации
⭐️ Vulnerability Management, Threat Intelligence, Threat Hunting, Patch Management и Incident Response (IR) с помощью бесплатного ПО
⭐️ Администрирование СЗИ

Что вы получите?
🙂Готовность к современным угрозам и способность предотвращать материальный и репутационный ущерб
🙂Возможности трудоустройства/стажировки для лучших выпускников
🙂Сертификат/удостоверение о повышении квалификации

🚀 По всем вопросам пишите @Codeby_Academy

🔗 URLFinder — высокоскоростной инструмент для пассивного сбора URL-адресов, оптимизированный для эффективного поиска веб-ресурсов без активного сканирования.

Имеет тщательно подобранные пассивные источники для максимально полного обнаружения URL-адресов, поддерживает несколько выходных форматов (JSON, file, стандартный вывод), поддержка STDIN/ OUT для легкой интеграции в существующие рабочие процессы.

💻 Установка возможна одной командой go install -v github.com/projectdiscovery/urlfinder/cmd/urlfinder@latest

🖥 Примеры использования:
🌟 Базовое использование для перечисления URL-адреса целевого домена codeby.net:

urlfinder -d codeby.net

🌟 Включать URL-адреса, соответствующие определенным шаблонам:

urlfinder -d codeby.net -m threads,hack

🌟 Исключать URL-адреса, соответствующие определенным шаблонам:

urlfinder -d codeby.net -f nothack

Список шаблонов для сопоставления можно передавать через файлы. Также можно ограничивать скорость максимального количества HTTP-запросов в секунду, указывать только конкретные источники для поиска или наоборот исключать их и задавать конкретные URL-адреса для более точного поиска.

▶️ Друзья, уже через час стартует бесплатный вебинар по пентесту веба, где мы разберем:
🔸 Поиск уязвимостей через фаззинг
🔸 Реальные SQL- и командные инъекции (с выводом RCE)
🔸 Эскалация привилегий после взлома
🔸 Разбор похожих задач из курсов WAPT и SQLiM

Вы еще успеваете присоединиться!
Через час — взломаем веб как профессионалы. 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме.

🚀 По всем вопросам пишите @Codeby_Academy

📎 httpx — быстрый и универсальный набор инструментов для работы с HTTP, созданный для поддержки запуска разных запросов с использованием общедоступной библиотеки. Запросы — это специальные тесты или проверки для сбора информации о веб-серверах, URL-адресах или других элементах HTTP. Используется для эффективного выявления и анализа конфигураций веб-серверов, проверки HTTP-ответов и диагностики потенциальных уязвимостей или неправильных настроек.

💻 Для успешной установки требуется go1.21. Установка: go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest. Другой вариант:

git clone https://github.com/projectdiscovery/httpx.git; \
cd httpx/cmd/httpx; \
go build; \
mv httpx /usr/local/bin/; \
httpx -version;

💱 Примеры использования:
Перебор путей по нескольким URL-адресам, выявляя коды ответов и потенциально уязвимые или незащищённые конечные точки в веб-приложениях:

httpx -l urls.txt -path /v1/api -sc

Запуск httpx с флагом -probe для всех доменов в файле hosts.txt, чтобы получить URL-адреса с проверенным статусом:

httpx -list hosts.txt -silent -probe

Можно использовать httpx в сочетании с другими инструментами, такими как subfinder для определения активных веб-серверов, их технологий в различных поддоменах:

subfinder -d hackerone.com -silent| httpx -title -tech-detect -status-code

По умолчанию httpx использует схему HTTPS и переходит на HTTP только в том случае, если HTTPS недоступен. Флаг -no-fallback можно использовать для проверки и отображения результатов как HTTP, так и HTTPS. В параметрах можно передавать хосты, URL-адреса и CIDR.

Друзья, напоминаем, на каких курсах начинается обучение в апреле ⤵️

Запись до конца дня:
🌟 Курс «Python для Пентестера» — освоим парсинг, фаззинг, аргументы командной строки и другие инструменты.
🌟 Курс «Профессия пентестер» — изучаем инструменты: сканеры, Bash-скрипты, пентест AD.

Запись до 13 апреля:
🌟Курс «Тестирование Веб-приложений на проникновение» — изучаем пассивный и активный фаззинг, фингерпринт, уязвимости, пост-эксплуатацию и другие техники.

Старт 7 апреля:
🌟Курс «Основы программирования на Python» — овладеем самым популярным ЯП за 2 месяца.

Старт 14 апреля:
🌟Курс «Django - разработка веб-приложений» — разработаем с нуля сайты на Django, сверстаем интерфейсы, и создадим интеграцию с бэкендом приложения.

Старт 17 апреля:
🌟Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — рассмотрим тему администрирования средств защиты информации.

Старт 21 апреля:
🌟Курс «Устройства для тестирования на проникновение» — изучим различные типы микроконтроллеров и микрокомпьютеров.
🌟Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и изменения кода и рассмотрим возможные уязвимости.
🌟Курс «Git. Система контроля версий» — освоим продвинутую работу с системой контроля версий Git.

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Скрытые профили, поддомены, старые коммиты — как найти то, что спрятано?

В новой статье из цикла "ШХ" разбираем три мощных инструмента для сбора информации:

1⃣ Amass — ищем поддомены и точки входа (пассивно/активно).
2⃣ youtube-handles-fuzz — проверяем YouTube-каналы по имени.
3⃣ OSGINT — вытягиваем данные GitHub-профилей (репы, PGP, почты).

Зачем это нужно?
🔸Анализ инфраструктуры сайта.
🔸Поиск целевых аккаунтов.
🔸Проверка цифрового следа.

✅Все методы — на основе открытых данных.

🔴 Читайте статью и пробуйте инструменты
🔴 Прокачайте скиллы по OSINT. Подробности здесь

🚩 Новые задания на платформе HackerLab!

🔑 Категория Криптография — Напиши мне

🔎 Категория OSINT — Это легально?

Приятного хакинга!

interactsh

Инструмент с открытым исходным кодом предназначенный для обнаружения Out-of-Band уязвимостей. Interactsh генерирует динамические URL-адреса, которые при запросе целевой системой инициируют обратный вызов на сервер. Эти вызовы можно отслеживать и анализировать для выявления потенциальных проблем безопасности.

👀 Компоненты:
🌟interactsh-client — генерирует уникальные URL-адреса и выполняет опрос для получения данных о взаимодействиях. Установка: go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest
🌟interactsh-server — сервер, который фиксирует обратные вызовы от сгенерированных URL-адресов. Публичные серверы доступны по умолчанию (oast.pro и др.), но для стабильной работы рекомендуется использовать собственный сервер. Установка: go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-server@latest
🌟Interactsh-web — бесплатный веб-клиент с открытым исходным кодом, который отображает взаимодействия на удобной панели управления в браузере. Он использует локальное хранилище браузера для хранения и отображения всех входящих взаимодействий.

💥 Характеристики:
⏺️Обеспечивает взаимодействие с DNS/HTTP(S)/SMTP(S)/LDAP и др. протоколами;
⏺️Отображает взаимодействия с полезными нагрузками в реальном времени;
⏺️Интегрируется с OWASP ZAP, Burp;
⏺️Поддерживает фильтрацию, сопоставление и настройку вывода данных.

Примеры использования:
1️⃣ Базовый запуск: interactsh-client. Генерирует один URL и начинает опрос взаимодействий с интервалом 5 секунд.

2️⃣ Использование защищенного автономного сервера: interactsh-client -server hackwithautomation.com -token XXX.

3️⃣ С помощью флага -sf можно сохранять/считывать информацию о текущем сеансе из пользовательского файла, что полезно для возобновления того же сеанса для опроса взаимодействий даже после остановки или закрытия клиента: interactsh-client -sf interact.session.

Для работы требуется получить бесплатный API ключ, зарегистрировавшись на https://cloud.projectdiscovery.io. После этого передаем API ключ в интерактивном режиме: interactsh-client -auth.

🚩 HackerLab — 1 место в квалификации Standoff 15!

По итогам квалификационного этапа крупнейших киберучений Standoff 15, команда Hackerlab заняла первое место! За этим результатом — мощная связка: практикующие пентестеры компании Кодебай и разработчики заданий HackerLab.

Для команды это был дебют, и мы гордимся тем, что смогли сразу продемонстрировать высокий результат на уровне сильнейших участников.

➡️ Scoreboard

Впереди — финал Standoff 15. Не расслабляемся и двигаемся дальше!

Аналитики Silent Push обнаружили новую фишинговую кампанию, использующую атаку Browser-in-the-Browser и нацеленную на игроков в Counter-Strike 2. Эти атаки включают в себя поддельные, но реалистично выглядящие всплывающие окна браузера, которые служат убедительной приманкой, чтобы заставить жертв войти в систему.

🎯 Цель кампании — заставить пользователя чувствовать себя в безопасности, полагая, что всплывающие окна являются частью реальных сайтов. Как только потенциальная жертва пытается войти на поддельный портал Steam (который открывается в "новом браузере"), злоумышленник крадет учетные данные и, вероятно, пытается завладеть учетной записью для последующей перепродажи. Наряду с попытками скомпрометировать учётные записи игроков в Steam, часть тактики кампании также включает использование названий профессиональной киберспортивной команды Navi для повышения доверия пользователей.

🚨 В ходе атаки на видном месте фишингового сайта отображается URL-адрес реального ресурса (в данном случае Steam), что заставляет пользователя поверить, что это настоящее всплывающее окно для входа в систему. Злоумышленник, стоящий за этим, также пытается распространить свою фишинговую схему на YouTube.

💡 Данный тип атак был изучен изучен исследователями и некоторые из них даже опубликовали пример с открытым исходным кодом.

Атаки BitB наиболее убедительны для пользователей настольных компьютеров, так как всплывающие окна рассчитаны на просмотр в более высоком разрешении.

❗️Рекомендации:
⏺️Специалисты рекомендуют пользователям обращать внимание на поддельные URL-адреса во всплывающих окнах для входа в систему;
⏺️Если вы видите URL-адрес, всегда старайтесь перетащить это окно за пределы браузера, в котором находитесь. Это лучший способ легко убедиться, что всплывающее окно настоящее и, следовательно, URL-адрес в строке будет корректно отображать URL-адрес всплывающего окна.

dnsx - быстрый и универсальный набор инструментов DNS, предназначенный для запуска различных проверок с помощью библиотеки retryabledns. Он поддерживает запросы A, AAAA, CNAME, PTR, NS, MX, TXT, SRV, SOA, пользовательские резолверы, фильтрацию DNS по шаблонам, например shuffledns, и т. д.

Для успешной установки требуется go1.21. Для установки последней версии выполните следующую команду: go install -v github.com/projectdiscovery/dnsx/cmd/dnsx@latest

☄️ Примеры использования:
Вывод А записей для заданного списка поддоменов:

subfinder -silent -d hackerone.com | dnsx -silent -a -resp

Проверка с помощью кода состояния DNS для заданного списка доменов:

subfinder -silent -d hackerone.com | dnsx -silent -rcode noerror,servfail,refused

Извлечение поддоменов из заданного сетевого диапазона с помощью PTR запроса:

echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr

Перебор по поддоменам с использованием нескольких ключевых слов:

dnsx -silent -d domains.txt -w jira,grafana,jenkins

Перебор доменов со списком подставляемых слов:

dnsx -d google.FUZZ -w tld.txt -resp

Особенностью dnsx является его способность обрабатывать многоуровневые подстановочные знаки на основе DNS. Иногда все поддомены разрешаются в один IP, что приводит к большому количеству мусора в выводе. dnsx обрабатывает это следующим образом: он отслеживает, сколько поддоменов указывают на один IP-адрес, и если количество поддоменов превышает определённый порог, он итеративно проверяет подстановочные знаки на всех уровнях хостов для этого IP-адреса.