#bugbounty #hacktivity

Всякий раз убеждаюсь, что усидчивость, нестандартное мышление и желание что-то найти является главным скилом при участии в Bug Bounty программе. Более того, не надо думать, что у таких ИТ-гигантов, как Facebook, не может быть уязвимостей в приложениях. Это доказывают writeup'ы вроде этого.

Исследователь обнаружил уязвимость типа «выполнение произвольного кода» в приложении Facebook для Android, а именно, в функционале загрузки файла из вкладки «Файлы», а не из самого сообщения. В таком случае приложение загружало файл, а затем сохраняло его в каталоге «Загрузки» без какого-либо фильтра.

#recon #OSINT

Работа с Google Dorks предполагает использование расширенных операторов в поисковой системе Google для поиска определенных строк текста в результатах выдачи. Основное преимущество их использования связано с тем, что они ограничивают количество выдаваемой информации, что позволяет в кратчайшие сроки найти интересующую информацию. Ниже представлены самые распространенные операторы поиска:

🔍site — поиск только на указанном сайте

🔍inurl — поиск по словам, присутствующим в URL

🔍intext — поиск в теле страницы

🔍intitle — поиск в заголовке страницы (текст, заключенный между тэгами <title>)

🔍ext или filetype — поиск страниц с указанным расширением

🔍related — поиск сайтов со схожей тематикой

🔍link — поиск внешних ссылок на страницы

🔍cache — поиск содержимого страницы в кэше (если имеется)

🔍numrange — поиск определенных чисел в результатах поиска

🔍before/after — поиск в определенном диапазоне дат

Специальные символы: "" (точная фраза), * (любой текст), . (любой символ), - (исключить слово), .. (диапазон дат), | (логическое «или»).

Список Google Dorks вырос в большой словарь запросов, которые в конечном итоге были организованы в Google Hacking Database (GHDB). В базе данных хранятся запросы, направленные на поиск уязвимостей / утечек чувствительной информации / листинга директорий / журналов и многого другого. То есть как раз то, что нам нужно.

https://proglib.io/w/fa0ffc00

#redteam #pentest

Жизненный цикл атаки (kill chain)

При рассмотрении этапов тестирования на проникновение некоторые важные детали были умышленно опущены для упрощения. На самом деле существует такое понятие, как жизненный цикл атаки, представляющий собой последовательность шагов, выполняемых потенциальным злоумышленником. Данным понятием зачастую оперируют при реагировании на инциденты.

От того, на каком этапе kill chain была обнаружена угроза, зависит эффективность расследования и размер материального и репутационного ущерба, нанесённого атакуемой организации.

Традиционный kill chain выглядит следующим образом (каждый следующий этап, как правило, не начинается без окончания предыдущего):
1. Разведка и сбор данных (reconnaissance)
2. Выбор способа атаки (weaponization)
3. Доставка (delivery)
4. Эксплуатация (exploitation)
5. Закрепление (installation)
6. Исполнение команд (command and control)
7. Достижение цели (actions on objective)

Интересно рассмотреть каждый этап по отдельности?

#bugbounty #hacktivity

Год назад исследователь из PortSwigger опубликовал работу о новых подходах к атаке HTTP request smuggling. Данная атака вмешивается в обработку последовательности HTTP-запросов, которую веб-приложение получает от одного или нескольких пользователей.

Атака направлена на рассинхронизацию backend и frontend веб-сервера, в результате чего злоумышленник может "контрабандой" пронести HTTP-запрос мимо последнего. Подробнее можно почитать на сайте PortSwigger или в упрощенном варианте на Хабре.

Недавно некто Ricardo Iramar dos Santos опубликовал writeup с описанием хода вышеописанной атаки, которая позволила управлять корпоративными мобильными устройствами, отправляя поддельные запросы на MDM сервер Citrix.

Профит от Bug Bounty программы — 17 000💲.

https://proglib.io/w/47b6718d

#redteam #pentest

Kill chain в деталях

1. Разведка и сбор данных (reconnaissance). Нам уже знаком данный этап из предыдущих постов, точнее два этапа — активная и пассивная разведка. Обобщим: в рамках разведки злоумышленник пытается установить организационную структуру организации, стек технологий, средства обеспечения ИБ, возможности использования социальной инженерии по отношению к сотрудникам.

2. Выбор способа атаки (weaponization). Злоумышленник определяет способ атаки, исходя из информации, полученной на предыдущем этапе. При этом злоумышленник может как создать новое вредоносное ПО, позволяющее эксплуатировать обнаруженные уязвимости, так и воспользоваться средствами с открытым исходным кодом. Например, он подготовил вредоносный файл MS Office с макросами. Остается выбрать способ доставки в атакуемую организацию.

3. Доставка (delivery). На данном этапе атакующий должен обеспечить попадание вредоносного ПО в информационные системы (ИС) атакуемой организации. Это может быть вложение электронной почты, вредоносная и фишинговая ссылка и т. д.

4. Эксплуатация (exploitation). После успешного попадания в ИС атакуемой организации вредоносное ПО, используя уязвимости, распространяется по сети и закрепляется на зараженных машинах в ожидании команд от злоумышленника.

5. Закрепление (installation). Вредоносное ПО осуществляет заражение для того, чтобы минимизировать свое обнаружение или удаление после перезагрузки или установки обновления.

6. Исполнение команд (command and control). С помощью соединения, устанавливаемого изнутри ИС атакованной организации, вредоносное ПО реализует взаимодействие с сервером управления, подконтрольным злоумышленнику. Таким образом, атакующий получает управление рабочей станцией или сервером внутри ИС атакуемой организации.

7. Достижение цели (actions on objective). Получив управление, злоумышленник может работать с данными на скомпрометированной рабочей станции, осуществляя несанкционированный доступ. Кроме того, атакующий может попытаться заразить другие рабочие станции в ИС, для увеличения объема доступной информации.

#pentest #bugbounty #practice

Kontra OWASP Top 10 — это коллекция бесплатных интерактивных руководств о наиболее популярных уязвимостях и некоторых инцидентах безопасности.

Разработчики данных тренингов считают, что каждый инженер-программист должен иметь бесплатный доступ к обучению безопасной разработке. Kontra OWASP Top 10 — их первый шаг в этом направлении.

Вдохновленные реальными уязвимостями и тематическими исследованиями, они создали серию интерактивных учебных модулей по безопасности приложений, чтобы помочь разработчикам понять, выявить и уменьшить проблемы безопасности в своих приложениях.

Красиво, кликабельно, наглядно: https://proglib.io/w/26094237

#pentest #redteam #blueteam

Positive Research 2020 — ежегодное исследование Positive Technologies, в котором собрана самая актуальная и интересная информация о трендах и прогрессивных технологиях ИБ, о том, как защититься от киберугроз, чему учиться — и о том, что ждет в будущем.

#redteam #pentest

Повышение привилегий (Privilege escalation)

Одним из самых сложных этапов kill chain для злоумышленника, как правило, является четвертый — эксплуатация. На данном этапе у злоумышленника может возникнуть такая проблема, как недостаточные привилегии в системе или приложении. Для решения данной проблемы злоумышленник будет пользоваться различными техниками повышения привилегий.

Повышение привилегий — это использование компьютерного бага, уязвимости, ошибки в конфигурации операционной системы или программного обеспечения с целью повышения уровня доступа к вычислительным ресурсам, которые обычно защищены от пользователя. В результате пользователь получает бОльшие привилегии, чем предполагалось разработчиком или системным администратором, и может выполнять несанкционированные действия на системе.

Выделяют две формы повышения привилегий:
✔️Вертикальное повышение привилегий — злоумышленник имитирует пользователя на высшем уровне привилегий.
✔️Горизонтальное повышение привилегий — злоумышленник имитирует пользователя на том же уровне привилегий.

Самый легкий способ поднять привилегии, которым стоит воспользоваться в первую очередь, — это поискать в системе сохраненные учетные данные админского аккаунта. Самое простое — это файлы, оставшиеся после автоматической установки или файлы менеджеров паролей (например, KeePass Password Safe). Всем известно, что человек — существо ленивое, поэтому системные администраторы будут пытаться автоматизировать установку софта и хранения паролей. Поэтому в системе можно обнаружить файлы:
- C:\unattend.xml
- C:\Windows\Panther\Unattend.xml
- C:\Windows\Panther\Unattend\Unattend.xml
- C:\Windows\system32\sysprep.inf
- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
- C:\inetpub\wwwroot\web.config
- *.kdbx

С техниками повышения привилегий в различных ОС можно ознакомиться в следующих источниках: Linux (Хабр / xakep.ru) и Windows (fuzzysecurity.com / xakep.ru).

#redteam #pentest #bugbounty #book

The Hacker Playbook 3: Practical Guide to Penetration Testing. Red Team Edition (2018)

Автор: Peter Kim

Не побоюсь этого слова, легендарная и обязательная к прочтению книга для ИБ-специалиста. В книге сделан явный уклон на red team, поэтому рассматривается все этапы проникновения: от выбора инструментария и поиска веб-уязвимостей до проникновения в инфраструктуру и распространения по сети.

Основная цель этой книги — ответить на вопросы о том, почему все еще ломается. Например, с учетом различных продуктов безопасности, проверок кода безопасности, требований к эшелонированной защите и тестированию на проникновение, как мы до сих пор наблюдаем массовые нарушения безопасности, происходящие с крупными корпорациями и правительствами? Настоящий вопрос, который мы должны задать себе, заключается в том, работают ли все меры безопасности, которые мы применяем?

В конечном итоге книга поднимет ваши атакующие навыки, мыслительные процессы и способы атаки на новый уровень.

#bugbounty #hacktivity

Одной из самых жарких новостей текущего месяца в ИБ-сообществе стала новость о взломе инфраструктуры Apple, в результате чего исследователями было выявлено 55 уязвимостей, включая 11 критических: некоторые баги позволяли взламывать аккаунты iCloud, получать доступ к закрытым ресурсам Apple и даже локальной сети компании.

Результаты трехмесячной работы описаны в блоге руководителя группы исследователей. Нам, как специалистам по анализу безопасности, данные отчеты представляют особенную ценность, так как описывают ход их мыслей и применяемые инструменты.

На русском с результатами исследования можно ознакомиться в блоге компании «Лаборатория Касперского».

Начальный профит от Bug Bounty программы — 237 000💲.

​#blueteam #redteam #pentest

MITRE ATT&CK

Kill chain хорошо подходит для моделирования угроз, но все этапы жизненного цикла необходимо наполнять какими-то действиями. Т. е. речь идет о систематизации имеющейся информации о всех методах атак, используемых злоумышленниками.

В этом нам может помочь матрица Mitre Att&ck (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках»). Она основана на реальных наблюдениях компании Mitre и содержит описание тактик, приемов и методов, используемых злоумышленниками.

Базу Mitre Att&ck компания Mitre создала в 2013 году. Цель проекта — составление структурированной матрицы используемых злоумышленниками приемов, чтобы упростить задачу реагирования на киберинциденты.

Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам злоумышленников (основные этапы кибератаки или подготовки к ней), а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно Mitre Att&ck — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники.

Матрицы Mitre Att&ck объединены в следующие группы:
- PRE-ATT&CK — тактики и техники, которые злоумышленники используют на этапе подготовки к кибератаке.
- Enterprise — тактики и техники, которые злоумышленники применяют в ходе атаки на организации.
- Mobile — тактики и техники, которые злоумышленники используют в ходе атаки на мобильные устройства под управлением iOS и Android.
- ATT&CK for ICS — тактики и техники, которые используются в кибератаках на промышленные системы управления.

Стоит отметить, что данная матрица не заменяет kill chain, а всего лишь уточняет, что скрывается за последними тремя этапами. Подробности в прикрепленной картинке.

#writeup #poc #CVE

CVE-2020–25213: wp-file-manager wordpress plugin (<6.9) for unauthenticated arbitrary file upload

Wordpress является одной из самых популярных CMS в мире, поэтому не исключено, что и вы имеете или имели с ней дело.

Недавно выявленная уязвимость в плагине File Manager (wp-file-manager) позволяет неавторизованному пользователю загружать и выполнять произвольный код PHP, что приводит к сами пониманиете к каким последствиям.

Чтобы исправить уязвимость, просто обновите плагин до версии 6.9. А нам, как исследователям безопасности веб-приложений, следует остановиться на данном writeup'е подробнее, ведь его автор создал эксплойт только после анализа описания, доступного в различных блогах (wordfence и seravo) с девизом, позволяющим читателям понять, как создать POC (Proof of Concept), просто проанализировав описание уязвимости.

https://proglib.io/w/103f52aa

#pentest #recon

Ранее на канале упоминалась важность анализа метаданных в ходе разведки. Это подтверждают аналитические исследования, проводимые многими компаниями.

Зачастую при создании нового документа цифровые следы остаются незамеченными (для рядового пользователя). Так или иначе, метаданные используются не только из добрых побуждений и могут представлять угрозу конфиденциальности.

Так, специалисты из Digital Security подготовили аналитический обзор по проблеме использования метаданных, для того чтобы узнать, как различные интернет-ресурсы относятся к метаданным передаваемых или загружаемых пользователями файлов. Авторы пользовались информацией из открытых источников.

​#pentest #bugbounty #tools

Burp Suite — это швейцарский нож для тестирования безопасности веб-приложений. Если посмотреть репорты Bug Bounty программ, то практически везде на скриншотах можно встретить использование этого инструмента. Альтернативой является OWASP ZAP, который тоже не стоит списывать со счетов.

Но вернемся к Burp Suite. Данная интегрированная платформа предназначена для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах, если речь идет о профессиональной (платной) версии. Для начала работы вам будет достаточно бесплатной версии.

Суть работы Burp Suite заключается в проксирующем механизме, который перехватывает и обрабатывает все поступающие от браузера запросы.

Burp Suite содержит следующие ключевые компоненты:
✔️Proxy — перехватывающий прокси-сервер. Находясь между браузером и целевым веб-приложением он позволит вам перехватывать, изучать и изменять запросы.
✔️Spider — паук, позволяющий в автоматическом режиме собирать информацию о об архитектуре веб-приложения, переходить по ссылкам и составлять карту целевого веб-приложения.
✔️Scanner — автоматический сканер уязвимостей (профессиональная версия).
✔️Intruder — утилита, позволяющая в автоматическом режиме производить атаки различного вида, такие как подбор пароля, перебор идентификаторов, фаззинг и так далее.
✔️Repeater — утилита для модифицирования и повторной отправки отдельных HTTP-запросов и анализа ответов целевого веб-приложения.
✔️Sequencer — утилита для анализа генерации случайных данных приложения и выявления алгоритма генерации.
✔️Decoder — утилита для ручного или автоматического преобразования данных целевого веб-приложения.
✔️Comparer — утилита для запросов и ответов.
✔️Extender — расширения в BurpSuite. Можно добавлять как готовые из BApp store, так и собственной разработки.

Ряд деталей было опущено для упрощения, но с ними вы можете ознакомиться в статьях на Хабре (описание возможностей и полезные приемы по использованию Burp Suite более эффективно).

Цикл полезных видеороков по работе с Burp Suite для новичков: https://proglib.io/w/8960652f

Скачать Burp Suite: https://proglib.io/w/123cd3a9

#pentest #bugbounty #tools

Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.

Итак, вернемся к Burp Suite. Чтобы во вчерашнем посте не нагромождать количество ссылок, несколько особо интересных ссылок и мыслей было оставлено на сегодня.

В следующей серии статей вы увидите набор практических советов по работе с Burp Suite, которые упростят поиск уязвимостей:
- часть 1
- часть 2

Следующая статья того же автора о связке Burp Suite и Aquatone, а именно об использовании данных инструментов для автоматического выполнения скриншотов. На входе список ссылок из Burp Suite — на выходе скриншот каждой ссылки и заголовки ответа веб-сервера.

Aquatone также можно и нужно применять вкупе с инструментами для поиска поддоменов. Но это другая и не менее важная история, о которой мы поговорим в другой раз.

Напоследок оставлю ссылку на канал, в котором можно увидеть множество интересного о Burp Suite: https://t.me/burpsuite

#book

The Red Team Guide
A practical guide for Red Teams and Offensive Security

Ранее мы с вами разбирались с понятием Red Team и рассматривали матрицы Mitre Att&ck, которые описывают тактики, техники и процедуры атакующих.

Red Teaming — это процесс использования тактик, методов и процедур для имитации реальных угроз с целью обучения и измерения эффективности сотрудников, процессов и технологий, используемых для защиты корпоративной инфраструктуры.

Процесс Red Teaming использует методы и техники наступательной (offensive) безопасности и позволяет получить представление об общей безопасности организации (способность обнаруживать атаки, реагировать на них и восстанавливаться после них).

Данная книга является очередной фундаментальной книгой, которая должна попасть в вашу библиотеку. Она научит вас управлять командой Red Team, проводить соответствующие мероприятия и понимать ее роль и важность в тестировании безопасности.

Кроме того, авторы книги на практике проведут вас по всем этапам kill chain.

#devops #devsecops

Темы DevOps и безопасного DevOps (DevSecOps) стремительно развиваются последнее время. Связано это с тем, что нынешняя конкуренция вынуждает организации брать на себя риски хранения большого количества конфиденциальных данных, что является идеальным условием для катастрофы. Поэтому с увеличением количества онлайн-сервисов растет частота обнаружения проблем в безопасности.

Так вот, DevSecOps показывает, как можно помочь организациям безопасно работать с данными, доверен­ными пользователями, и защищать их.

Но, прежде чем переходить к DevSecOps, необходимо разобраться с процессом DevOps. Простыми словами, DevOps представляет собой процесс непрерывного совершенствования программных продуктов с помощью ускорения циклов релизов, автоматизации конвейеров (интеграционных и разверточных) и тесного взаимодействия между командами.

Цель DevOps — сокращение времени и стоимости воплощения идеи в продукте, которым пользуются клиенты.

Как вы уже поняли, главной составляющей в DevOps является полностью автоматизированный процесс от отправки разработчиком модификации программы до развертывания сервиса в среде эксплуа­тации (production).

1. Автоматизированная интеграция нового функционала в программный продукт называется непрерывной интеграцией (Continuous Integration, CI). CI определяет рабочие процессы для внедрения, тестирования и слияния функциональностей в программном продукте. Ключевыми составляющими на данном этапе являются автоматизированные тесты, которые позволяют ответить на следующий вопрос: «Не спровоцировали ли изменения появления ошибок в су­ществующем функционале и сохранился ли уровень качества?». Изменения сливаются с основным репозиторием после проверки изменений.

2. Автоматизацию развертывания программных продуктов в сервисах, доступных для пользователей, называют непрерывной поставкой (Continuous Delivery, CD). Вместо управления компонентами инфраструктуры вручную DevOps предполагает программирование инфраструктуры для быстрой обработки изменений. Когда разработчики выполняют слияние кода с изменениями в программе, специалисты по эксплуа­тации запускают развертывание обновленной программы из СD-конвейера, кото­рый автоматически извлекает последнюю версию исходного кода, упаковывает ее и создает для нее новую инфраструктуру.

3. Следующим ключевым компонентом DevOps является Инфраструктура как сервис (Infrastructure-as-a-Service, IaaS), которая может быть представлена в виде облака или может быть развернута штатно, например с помощью Kubernetes.

Вышеперечисленные концепции лежат в основе процесса DevSecOps, который еще можно назвать непрерывной безопасностью. Непрерывная безопасность в свою очередь охватывает следующие области:
- Безопасность на основе тестирования (Test-Driven Security, TDS),
- Мониторинг и реагирование на атаки,
- Оценка рисков и усиление безопасности.

#bugbounty

Bug Bounty: как заработать на взломе

Статья, в которой вы увидите много интересного относительно участия в программах Bug Bounty, а именно: обзор платформ для взаимодействия хакеров и компаний, виды программ Bug Bounty, виды и примеры условий при участии в программах Bug Bounty и многое другое.

https://proglib.io/sh/3TOy0rBskY

#CVE

Если вы или ваша компания пользуетесь Google Chrome под Windows, Mac или Linux, то вам в срочном порядке следует обновиться до актуальной версии, которая включает целых 5 исправлений безопасности.

Одним из фиксов является исравление zero-day уязвимости CVE-2020-15999, существующей в функции FreeType «LoadSBitPng», которая обрабатывает встроенные в шрифты изображения PNG.

Злоумышленники могут использовать этот баг для выполнения произвольного кода, просто используя специально созданные шрифты со встроенными изображениями PNG.

Подробности: https://proglib.io/w/78c38d2a