Я в Коммерсантъ 🥳

UPD. А также в www1.

🔗 Ссылка на новость Коммерсантъ
🔗 Ссылка на новость www1 (Дзен)

🤨 Печеньки с сюрпризом

Изучил интересную уязвимость под названием Cookie Tossing (подброс cookie). Эта уязвимость может позволить злоумышленнику украсть сессию, получить доступ к аккаунту или даже выполнить действия от вашего имени без вашего ведома.

Cookie Tossing — это уязвимость, возникающая из-за некорректной обработки cookie браузером и сервером, позволяющая злоумышленнику внедрить поддельные cookie в домен или поддомен приложения.

▎Как это работает?

Сookie, установленные для домена example.com, отправляются браузером во все поддомены (например, sub.example.com). Если злоумышленник уже контролирует поддомен, он может установить cookie для родительского домена example.com с целью атаки на легитимных пользователей. Получить контроль над поддоменом возможно через сторонние уязвимости или социальной инженерией, но мы это рассматривать в рамках этого поста не будем.

Когда пользователь посещает example.com, браузер отправляет все cookie, соответствующие этому домену, включая поддельные, которые установил злоумышленник, контролирующий поддомен.

▎Выходит следующее:

Cервер получает несколько cookie с одинаковым именем (например, session_id=user и session_id=hacker). И если злоумышленник управляет порядком или значением cookie (либо сервер сам возьмёт второе значение cookie среди двух одинаковых имён), — это может привести к краже сессий, обходу аутентификации, подмене CSRF-токенов для выполнения вредоносных запросов и т.д. Злоумышленник подменяет cookie пользователя, чтобы сервер ассоциировал запросы пользователя с аккаунтом злоумышленника или выполнял действия, выгодные ему.

▎Если приложение не принимает запросы с файлами cookie с одинаковым именем и разными значениями, можно попробовать следующие хитрости:
➡️Переполнить легитимные cookie на cookie атакующего. Подробнее: Cookie Jar Overflow.
➡️Попробовать изменить имя cookie, используя URL-кодировку, разный регистр букв, экстра-символы (например, %00, %20, %09) и т.д.

▎Рекомендации по устранению уязвимости:
✅Использовать префиксы __Host- и __Secure-, что предотвратит подмену cookie через поддомены;
✅Ограничить область действия cookie конкретным поддоменом;
✅Регулярно проверять DNS-записи на наличие неиспользуемых поддоменов (исключить его перехват);
✅Дополнительно следует внедрить проверку cookie на сервере, чтобы отклонять подозрительные запросы.

Печеньки — это не только сладко, но и хакнуто.

#хакинг

💻 А Вася сегодня зайдёт?

21 марта провайдер Lovit подвергся крупной DDoS-атаке, которая подвергла нарушению доступности.

Жильцы, использующие мобильное приложение для доступа в подъезд, оказались в ловушке: Lovit, как сообщает ТГК SHOT, глушит мобильные сети, чтобы пользователи подключались только к их Wi-Fi. В результате те, у кого нет магнитных ключей, не могут открыть домофон через приложение.

▎Как люди нашли временное решение проблемы?
➡️Стучались соседям в окна, чтобы те открыли двери.
➡️Вызывали курьеров на свой адрес, ведь у них есть магнитные ключи от подъездов.
➡️Оставляли двери подъездов открытыми.

По данной новости мы можем точно понять, что нарушение доступности (одного из ключевых критериев защищённости — КЦД), может вызвать катастрофические последствия. Тысячи россиян не могли попасть в дома, накормить своих животных, выключить утюги/чайники/плиты и так далее.

Многие люди просто не понимают, как ИБ влияет на их жизнь. Они думают: "Я не работаю в IT, у меня нет важных данных, мне нечего бояться". Однако ИБ касается практически каждого, даже тех, кто далёк от интернета и гаджетов. Это не абстракция, а реальная защита вашего комфорта, безопасности и жизни.

#новость

💻 Почему скрытность — профессиональная обязанность пентестера

Сегодня был опыт поприсутствовать на созвоне с бывшим blackhat-хакером с многолетним опытом, который перешёл на светлую сторону и занимается кибербезопасностью. Обсудили важность редтим-подхода даже в обычном пентесте.

До этого считал, что скрывать следы и не шуметь — дело Red Team специалистов, которые больше нацелены на тестирование SOC-отдела (мониторщиков) в компании Заказчика, чем на составление отчёта с большим перечнем найденных уязвимостей. Но оказалось, это критично и для классического пентеста.

▎ Какую проблему создаёт пентестер своим шумом?
➡️Панику в SOC-отделе — триггерит алерты на ровном месте;
➡️Заставляет нервничать админов — начинают хаотично чистить логи и менять конфиги;
➡️Руководство злится — винит свой ИБ-отдел в "некомпетентности";
➡️Из-за излишнего мониторинга за действиями пентестера могут накрыться важные векторы атак.

▎ Почему редтим-аккуратность в обычном пентесте — норма?
➡️Админы нам не враги, но их реакция непредсказуема;
➡️Следы = репутационные потери для всех;
➡️Чистота и тишина — уважение к Заказчику.

▎ Советы при проведении внутреннего пентеста:
✅Не сохраняем историю команд в .bash_history;
✅Проверяем, не наблюдает ли кто-то за сессией;
✅Маскируем процессы под системные (например, под gpg-agent или dbus-broker — эти легитимные сервисы часто работают в фоне и не вызывают подозрений у мониторинга);
✅Не храним файлы в домашней папке, она под мониторингом HIDS (системы обнаружения вторжений). Выбираем /tmp, /var/run, /dev/shm — файлы здесь обычно удаляются примерно через неделю;
✅Не храним результаты в открытом виде — упаковываем в архив с добавлением случайных данных через /dev/urandom (чтобы файл не определялся как архив стандартными сигнатурами);
✅Выгружаем данные сразу к себе и разбираем локально;
✅Следим за скоростью различных инструментов для сканирования или брутфорса (относится и к внешнему тестированию). Слишком частые запросы вызовут алерты в SIEM;
✅И много другого...

Многолетний опыт невозможно пересказать в короткий промежуток времени, уж тем более уместить в Telegram-посте. Этому учатся годами.

Помните, что на хосте мы — гости. Необходимо проявлять уважение и соблюдать чистоту в инфраструктуре Заказчика.

Хороший специалист по безопасности оставляет после себя только отчёт — не следы.

🤨 Искал медь, а нашёл золото

Наткнулся на настоящее сокровище для веб-пентестера — огромную подборку расширений для Burp Suite (Community и Pro) с их описанием на GitHub. Здесь есть всё, чтобы прокачать ваш инструмент до боевого монстра!

▎ Внутри репозитория:
➡️Scanners — сканеры уязвимостей;
➡️Custom Features — уникальные доработки для Burp Suite;
➡️Beautifiers and Decoders — форматирование и декодирование данных;
➡️Cloud Security — тестирование облачных сервисов;
➡️Scripting — расширения для работы со скриптами и автоматизации тестирования;
➡️OAuth and SSO — инструменты для тестирования аутентификации;
➡️Information Gathering — сбор информации о целевой системе;
➡️Vulnerability Specific Extensions — инструменты под конкретные уязвимости;
➡️Web Application Firewall Evasion — обход систем веб-защиты;
➡️Logging and Notes — ведение логов и заметок во время тестов;
➡️Payload Generators and Fuzzers — генераторы полезных нагрузок и фаззеры;
➡️Cryptography — инструменты для работы с шифрами/хэшами;
➡️Tool Integration — расширения, связанные с интеграцией Burp Suite с другим программным обеспечением/инструментами;
➡️Misc — разные полезные расширения;
➡️Burp Extension Training Resources — обучающие материалы по работе с расширениями.

А какие добавленные расширения вам больше всего понравились?

🔗 Ссылка на подборку расширений Burp Suite

#github #материал