Прошла ежегодная конференция, посвященная OSINT - conINT 2021.
Некоторые темы докладов:
— Rapid Rapport: the Algorithm for building trust and liking in person or online
— Alice in Onionland: Brand Infringement Attribution, Traceability and Online to Offline Actionable Intelligence
— Create a Raspberry Pi OSINT Lab
— Darkweb intelligence and CSAM Investigations
— Hunting the FBI's Most Wanted: An OSINT Case Study
— OSINT on the Ocean: Maritime Intelligence Gathering Techniques
— Improving Your OSINT Skills by Inconveniencing Scammers
Трансляция на твиче: https://www.twitch.tv/videos/1210896210
Некоторые темы докладов:
— Rapid Rapport: the Algorithm for building trust and liking in person or online
— Alice in Onionland: Brand Infringement Attribution, Traceability and Online to Offline Actionable Intelligence
— Create a Raspberry Pi OSINT Lab
— Darkweb intelligence and CSAM Investigations
— Hunting the FBI's Most Wanted: An OSINT Case Study
— OSINT on the Ocean: Maritime Intelligence Gathering Techniques
— Improving Your OSINT Skills by Inconveniencing Scammers
Трансляция на твиче: https://www.twitch.tv/videos/1210896210
Vortimo - приложение для проведения онлайн расследований от основателя компании Paterva (подарившего миру Maltego) Рулофа Темминга. Поставляется в виде десктопного приложения и расширения для браузера, которое в реальном времени записывает всю вашу сессию в браузере, архивируя локально страницы и попутно анализируя контекст.
Используя регулярные выражения, отдельно выделяет все найденные контактные данные, такие как номера телефонов или адреса электронной почты для дальнейшего обогащения при помощи некоторых сервисов, вроде Dehashed, People, Riskiq (достаточно предварительно указать API-ключи). Парсит и тегирует другую информацию: ссылки, никнеймы и хэштеги.
Как и Maltego, позволяет строить графы по собранным данным, но, не поддерживает модульную систему, за счет которой можно было бы расширять базовую функциональность. Имеет несколько вариантов лицензии, каждая из которых отличается ограничениями на количество возможных проектов - поэтому все инструменты доступны сразу из коробки.
Используя регулярные выражения, отдельно выделяет все найденные контактные данные, такие как номера телефонов или адреса электронной почты для дальнейшего обогащения при помощи некоторых сервисов, вроде Dehashed, People, Riskiq (достаточно предварительно указать API-ключи). Парсит и тегирует другую информацию: ссылки, никнеймы и хэштеги.
Как и Maltego, позволяет строить графы по собранным данным, но, не поддерживает модульную систему, за счет которой можно было бы расширять базовую функциональность. Имеет несколько вариантов лицензии, каждая из которых отличается ограничениями на количество возможных проектов - поэтому все инструменты доступны сразу из коробки.
Cats - фаззер, предназначенный, прежде всего, для WhiteBox-тестирования. Разработан специально для проверки REST API на основе принимаемого на вход YAML-файла Swagger'а.
сопутствующий Cheat Sheet по безопасности REST API от OWASP.
сопутствующий Cheat Sheet по безопасности REST API от OWASP.
GitHub
GitHub - Endava/cats: CATS is a REST API Fuzzer and negative testing tool for OpenAPI endpoints. CATS automatically generates…
CATS is a REST API Fuzzer and negative testing tool for OpenAPI endpoints. CATS automatically generates, runs and reports tests with minimum configuration and no coding effort. Tests are self-heal...
Forwarded from SecAtor
Merry Christmas!!!
В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.
На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.
Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).
В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.
Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.
Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.
Apache Foundation пьют валерьянку и молчат.
Merry Christmas, дорогие наши, Merry Christmas!!!
В библиотеке log4j под Apache ночью вдруг нашлась 0-day уязвимость, приводящая к удаленному выполнению кода (RCE). К этому всему удовольствию прилагается рабочий PoC, опубликованный на GitHub.
На момент появления PoC у дырки не было даже CVE (сейчас уже есть - CVE-2021-44228). Известно, что уязвимость работает на куче сервисов, к примеру - Steam, iCloud и пр.
Эксплойту подвержены версии Apache log4j вплоть до 2.14.1. Сканирование сети на предмет уязвимых серверов уже идет (странно было бы ожидать другого при наличии рабочего PoC).
В качестве меры смягчения сначала предлагалось обновить log4j до версии 2.15.0-rc1, но буквально в течение нескольких часов был найден способ обхода исправления, поэтому теперь рекомендуют обновлять до 2.15.0-rc2. Кроме того, некоторые инфосек эксперты рекомендуют установить log4j2.formatMsgNoLookups в значение true.
Также LunaSec со ссылкой на китайцев говорят, что эксплойт не работает на версиях JDK выше 6u211, 7u201, 8u191 и 11.0.1.
Ну а вишенка на этом рождественском торте - эксплойт работает на всех версиях Minecraft начиная с 1.8.8.
Apache Foundation пьют валерьянку и молчат.
Merry Christmas, дорогие наши, Merry Christmas!!!
GitHub
GitHub - tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce: Apache Log4j 远程代码执行
Apache Log4j 远程代码执行. Contribute to tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce development by creating an account on GitHub.
https://github.com/whwlsfb/Log4j2Scan
Устраивает фейерверк в Burp’е при заходе практически на любой сайт. Проверяет zero day, подставляя пэйлоад в юзерагент, но, как показывают скриншоты китайцев, иногда бывает достаточно просто подставить нужную строчку в любую форму 😅
Устраивает фейерверк в Burp’е при заходе практически на любой сайт. Проверяет zero day, подставляя пэйлоад в юзерагент, но, как показывают скриншоты китайцев, иногда бывает достаточно просто подставить нужную строчку в любую форму 😅
Бородатый баг из 2013, позволяющий узнать по косвенным признакам, залогинен ли пользователь, зашедший на вашу страницу в сети, в Facebook, Twitter или GMail (или любом другом сайте, на котором вы найдете подобный вектор). Используя один из легитимных способов обхода CORS, при помощи загрузки сторонних ресурсов (таких как изображения или скрипты), возможно, используя ответ от сервера, понять, имеет ли пользователь доступ к запрашиваемому ресурсу. В данном случае был использован тег
С тех пор было относительно немного райтапов с такими находками, но те, что были опубликованы - вызывают интерес и показывают более критичную поверхность для атаки - как, например, из этой статьи с посимвольным чтением секрета из Jira залогиненного пользователя при помощи обращения к одному из плагинов для построения графиков, вместе с использованием языка запросов JQL. Также в статье c недавно найденным багом в Slack описан еще один вектор с обходом защиты от подобного типа атак - заголовка SameSite, введенного в 2016 и позволяющего контроллировать случаи, когда будет отправлен запрос на сторонний запрос с Cookie, а когда - нет.
В целом механика подобных утечек схожа с CSRF, за исключением того, что вместо выполнения действия от имени пользователя, мы получаем о нем ту или иную информацию со сторонних сайтов для чтения критичных данных или деанонимизации. Каждый запрос, отправляемый в рамках атаки, называется "оракулом" и должен отвечать на вопрос "да" или "нет", составляя полноценную картину о цели.
Сайт с описанием хаков, позволяющих эксплуатировать XS-Leaks: https://xsleaks.dev/
<script> и события onload и onerror, срабатывающие в зависимости от кода ответа при запросе страницы, указанной в качестве атрибута src. При загрузке страницы вернулся код >400 - ошибка, пользователь не имеет доступа к ресурсу, не залогинен и, соответственно, наоборот.С тех пор было относительно немного райтапов с такими находками, но те, что были опубликованы - вызывают интерес и показывают более критичную поверхность для атаки - как, например, из этой статьи с посимвольным чтением секрета из Jira залогиненного пользователя при помощи обращения к одному из плагинов для построения графиков, вместе с использованием языка запросов JQL. Также в статье c недавно найденным багом в Slack описан еще один вектор с обходом защиты от подобного типа атак - заголовка SameSite, введенного в 2016 и позволяющего контроллировать случаи, когда будет отправлен запрос на сторонний запрос с Cookie, а когда - нет.
В целом механика подобных утечек схожа с CSRF, за исключением того, что вместо выполнения действия от имени пользователя, мы получаем о нем ту или иную информацию со сторонних сайтов для чтения критичных данных или деанонимизации. Каждый запрос, отправляемый в рамках атаки, называется "оракулом" и должен отвечать на вопрос "да" или "нет", составляя полноценную картину о цели.
Сайт с описанием хаков, позволяющих эксплуатировать XS-Leaks: https://xsleaks.dev/
Серия статей о ядре Linux и его внутреннем устройстве.
На русский пока что переведена только первая глава, в которой шаг за шагом, строка за строкой исходного кода (буквально!) автор рассказывает об инициализации ядра - начиная с момента, как ядро распаковано и до запуска ядром первого процесса:
— Первые шаги после декомпрессии ядра - описывает первые шаги в ядре.
— Начальная обработка прерываний и исключений - описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
— Последние приготовления перед точкой входа в ядро - описывает последние приготовления перед вызовом start_kernel.
— Точка входа в ядро - описывает первые шаги в общем коде ядра.
— Продолжение архитектурно-зависимой инициализации - описывает архитектурно-зависимую инициализацию.
— Архитектурно-зависимая инициализация, снова... - описывает продолжение процесса архитектурно-зависимой инициализации.
— Конец архитектурно-зависимой инициализации, почти... - описывает конец setup_arch.
— Инициализация планировщика - описывает подготовку перед инициализацией и саму инициализацию планировщика.
— Инициализация RCU - описывает инициализацию RCU.
— Конец инициализации - последняя часть об инициализации ядра Linux.
https://github.com/0xAX/linux-insides
На русский пока что переведена только первая глава, в которой шаг за шагом, строка за строкой исходного кода (буквально!) автор рассказывает об инициализации ядра - начиная с момента, как ядро распаковано и до запуска ядром первого процесса:
— Первые шаги после декомпрессии ядра - описывает первые шаги в ядре.
— Начальная обработка прерываний и исключений - описывает инициализацию начальных прерываний и начального обработчика ошибки страницы.
— Последние приготовления перед точкой входа в ядро - описывает последние приготовления перед вызовом start_kernel.
— Точка входа в ядро - описывает первые шаги в общем коде ядра.
— Продолжение архитектурно-зависимой инициализации - описывает архитектурно-зависимую инициализацию.
— Архитектурно-зависимая инициализация, снова... - описывает продолжение процесса архитектурно-зависимой инициализации.
— Конец архитектурно-зависимой инициализации, почти... - описывает конец setup_arch.
— Инициализация планировщика - описывает подготовку перед инициализацией и саму инициализацию планировщика.
— Инициализация RCU - описывает инициализацию RCU.
— Конец инициализации - последняя часть об инициализации ядра Linux.
https://github.com/0xAX/linux-insides
Всех с наступающим (а кого-то с уже наступившим)!
Тут не будет пожеланий "щастья и здоровия", думаю, вы уже начиталась подобных поздравлений в других каналах или получили от родственников.
У каждого год прошел по разному и если вы, подводя итоги уходящего, не достигли того, чего желали в прошлом, не расстраивайтесь и считайте это одним из шагов к глобальной намеченной цели.
Ведь, как показывает мой жизненный опыт, все действительно зависит только от вас, вашего упорства и от чуточки удачи, которой я и хочу пожелать вам в новом году 😉
Спасибо каждому за вклад в развитие канала. В следующем будем и дальше продолжать публиковать материалы на ваши любимые темы и нести хакерскую этику в массы!
Последняя статья в уходящем году: реверс-инжиниринг крошечного чипа из 80х, воспроизводящего рождественские мелодии
Тут не будет пожеланий "щастья и здоровия", думаю, вы уже начиталась подобных поздравлений в других каналах или получили от родственников.
У каждого год прошел по разному и если вы, подводя итоги уходящего, не достигли того, чего желали в прошлом, не расстраивайтесь и считайте это одним из шагов к глобальной намеченной цели.
Ведь, как показывает мой жизненный опыт, все действительно зависит только от вас, вашего упорства и от чуточки удачи, которой я и хочу пожелать вам в новом году 😉
Спасибо каждому за вклад в развитие канала. В следующем будем и дальше продолжать публиковать материалы на ваши любимые темы и нести хакерскую этику в массы!
Последняя статья в уходящем году: реверс-инжиниринг крошечного чипа из 80х, воспроизводящего рождественские мелодии