PowerShell for Hackers
Веб-десктоп для интерактивного изучения PowerShell и применения его в тестировании на проникновении и хакинге.
Платформа включает инструменты, полезные нагрузки и примеры, которые вы можете использовать в своих собственных лабораториях.
https://powershellforhackers.com/
Веб-десктоп для интерактивного изучения PowerShell и применения его в тестировании на проникновении и хакинге.
Платформа включает инструменты, полезные нагрузки и примеры, которые вы можете использовать в своих собственных лабораториях.
https://powershellforhackers.com/
👍6
6 CVE для Bitlocker в последнем патче от Microsoft: CVE-2025-55330, CVE-2025-55332, CVE-2025-55333, CVE-2025-55337, CVE-2025-55338, CVE-2025-55682.
https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct
https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct
👍1
Forwarded from Адовый UX
This media is not supported in your browser
VIEW IN TELEGRAM
Компания Мираторг запустила сервис по пробиву данных
1👍16👎2
Компания F5 Networks сообщила о серьёзном инциденте информационной безопасности, связанном с деятельностью APT-группировки, получившей длительный несанкционированный доступ к внутренним системам.
В августе 2025 года было обнаружено, что злоумышленники имели постоянный доступ к среде разработки BIG-IP и внутренней инженерной платформе, откуда были скачаны файлы, включая части исходного кода и сведения о пока нераскрытых уязвимостях.
Компания подчёркивает, что критических или RCE-уязвимостей среди этих данных нет, а эксплуатации неизвестных уязвимостей не зафиксировано.
В августе 2025 года было обнаружено, что злоумышленники имели постоянный доступ к среде разработки BIG-IP и внутренней инженерной платформе, откуда были скачаны файлы, включая части исходного кода и сведения о пока нераскрытых уязвимостях.
Компания подчёркивает, что критических или RCE-уязвимостей среди этих данных нет, а эксплуатации неизвестных уязвимостей не зафиксировано.
👍7
Media is too big
VIEW IN TELEGRAM
Трое хакеров задержаны в Москве и Подмосковье по подозрению в создании и распространении вируса «Медуза», который в течение двух лет использовался для кражи учетных данных, информации о крипто-кошельках и взломов баз данных государственных учреждений.
👍4
Meduza Stealer — модульный Windows-стилер, ориентированный на массовое хищение данных.
Цель: cбор и эксфильтрация конфиденциальных данных с заражённых хостов: учётные данные браузеров, куки, история, закладки, данные браузерных расширений (включая расширения криптокошельков), менеджеры паролей и системная информация.
Активно продвигался через киберпреступные форумы и Telegram-каналы; авторы предоставляли панели доступа для подписчиков и варианты подписки.
Цель: cбор и эксфильтрация конфиденциальных данных с заражённых хостов: учётные данные браузеров, куки, история, закладки, данные браузерных расширений (включая расширения криптокошельков), менеджеры паролей и системная информация.
Активно продвигался через киберпреступные форумы и Telegram-каналы; авторы предоставляли панели доступа для подписчиков и варианты подписки.
👍1
@theyforcedme, задефейсила Башорг.
zoi: ты как, сцуко, башорг задефейсила?
аня: вы, уважаемый Зой, домен продлить забыли!
zoi: врёшь, продлили же
аня: ну bash.org.ru продлили, а домен, указанный в NS-записях оплатить забыли
👍3
Forwarded from OWASP RU
Русский перевод и адаптация OWASP Application Security Verification Standard
Стандарт верификации требований к безопасности приложений — это перечень требований к безопасности приложений (тестов), которыми могут пользоваться архитекторы, разработчики, тестировщики, специалисты по безопасности, разработчики инструментов и конечные пользователи для проектирования, разработки, тестирования и контроля безопасных приложений.
Пятая версия стандарта верификации требований к безопасности приложений опирается на предыдущие версии ASVS, начиная с первой, вышедшей в 2008 году, и до четвертой, в 2019 году.
После выхода версии ASVS 4.0 в 2019 году и ее незначительного обновления (v4.0.3) в 2021 году, версия 5.0 является значительным шагом вперед — она была модернизирована, чтобы учесть последние достижения в области безопасности программного обеспечения.
ASVS 5.0 стал результатом масштабного вклада руководителей проекта, членов рабочей группы и широкого сообщества OWASP, направленного на обновление и совершенствование этого важного стандарта.
Область действия ASVS
Область действия ASVS определяется его названием: Приложение (Application), Безопасность (Security), Верификация (Verification) и Стандарт (Standard). Он устанавливает, какие требования включены в стандарт, а какие — исключены из него, с глобальной целью определения основополагающих принципов безопасности, которые должны быть достигнуты. Область действия также учитывает требования к документации, которые служат основой для требований к реализации.
Не существует такого понятия, как «область действия» для злоумышленника. Поэтому требования ASVS должны оцениваться в совокупности с рекомендациями по другим аспектам жизненного цикла приложения, включая процессы CI/CD, хостинг и операционную деятельность.
Приложение
ASVS определяет «Приложение» как разрабатываемый программный продукт, в который должны быть интегрированы механизмы безопасности. ASVS не регламентирует процессы жизненного цикла разработки и не указывает на методы сборки приложения в CI/CD. Его задача — описать требуемый уровень защищённости, который должен быть достигнут в конечном продукте.
Компоненты для обработки HTTP-трафика (WAF, балансировщики нагрузки, прокси) могут считаться частью приложения в контексте безопасности, поскольку некоторые механизмы безопасности напрямую зависят от них или могут быть реализованы с их помощью. Это касается требований по кешированию, rate limiting, а также фильтрации входящих/исходящих подключений по источнику и получателю.
В свою очередь, ASVS не включает требования, не относящиеся к приложению напрямую или находящиеся за пределами его зоны ответственности. Так, например, проблемы DNS обычно относятся в ведении отдельной команды или функции.
Аналогично, хотя в зону ответственности приложения входит обработка входящих данных и генерация исходящих данных, если внешний процесс взаимодействует с приложением или его данными, это считается выходящим за рамки ASVS. Например, резервное копирование приложения или его данных обычно выполняется внешними процессами и не контролируется самим приложением или его разработчиками.
Безопасность
Каждое требование должно иметь очевидное влияние на безопасность. Отсутствие требования должно привести к снижению уровня защищённости приложения, а реализация требования должна либо уменьшить вероятность возникновения риска безопасности, либо смягчить последствия.
Все прочие аспекты, такие как функциональные характеристики, стиль кода или требования политик, выходят за рамки стандарта.
Верификация
Требование должно быть верифицируемым, а его проверка должна приводить к однозначному решению: «не выполнено» или «выполнено».
Стандарт
ASVS представляет собой набор требований безопасности, которые необходимо реализовать для соответствия стандарту. Это означает, что требования ограничиваются определением целевого показателя безопасности, которого необходимо достичь. Прочая сопутствующая информация может быть надстроена на основе ASVS или связана с ним через сопоставления.
PDF RU
Стандарт верификации требований к безопасности приложений — это перечень требований к безопасности приложений (тестов), которыми могут пользоваться архитекторы, разработчики, тестировщики, специалисты по безопасности, разработчики инструментов и конечные пользователи для проектирования, разработки, тестирования и контроля безопасных приложений.
Пятая версия стандарта верификации требований к безопасности приложений опирается на предыдущие версии ASVS, начиная с первой, вышедшей в 2008 году, и до четвертой, в 2019 году.
После выхода версии ASVS 4.0 в 2019 году и ее незначительного обновления (v4.0.3) в 2021 году, версия 5.0 является значительным шагом вперед — она была модернизирована, чтобы учесть последние достижения в области безопасности программного обеспечения.
ASVS 5.0 стал результатом масштабного вклада руководителей проекта, членов рабочей группы и широкого сообщества OWASP, направленного на обновление и совершенствование этого важного стандарта.
Область действия ASVS
Область действия ASVS определяется его названием: Приложение (Application), Безопасность (Security), Верификация (Verification) и Стандарт (Standard). Он устанавливает, какие требования включены в стандарт, а какие — исключены из него, с глобальной целью определения основополагающих принципов безопасности, которые должны быть достигнуты. Область действия также учитывает требования к документации, которые служат основой для требований к реализации.
Не существует такого понятия, как «область действия» для злоумышленника. Поэтому требования ASVS должны оцениваться в совокупности с рекомендациями по другим аспектам жизненного цикла приложения, включая процессы CI/CD, хостинг и операционную деятельность.
Приложение
ASVS определяет «Приложение» как разрабатываемый программный продукт, в который должны быть интегрированы механизмы безопасности. ASVS не регламентирует процессы жизненного цикла разработки и не указывает на методы сборки приложения в CI/CD. Его задача — описать требуемый уровень защищённости, который должен быть достигнут в конечном продукте.
Компоненты для обработки HTTP-трафика (WAF, балансировщики нагрузки, прокси) могут считаться частью приложения в контексте безопасности, поскольку некоторые механизмы безопасности напрямую зависят от них или могут быть реализованы с их помощью. Это касается требований по кешированию, rate limiting, а также фильтрации входящих/исходящих подключений по источнику и получателю.
В свою очередь, ASVS не включает требования, не относящиеся к приложению напрямую или находящиеся за пределами его зоны ответственности. Так, например, проблемы DNS обычно относятся в ведении отдельной команды или функции.
Аналогично, хотя в зону ответственности приложения входит обработка входящих данных и генерация исходящих данных, если внешний процесс взаимодействует с приложением или его данными, это считается выходящим за рамки ASVS. Например, резервное копирование приложения или его данных обычно выполняется внешними процессами и не контролируется самим приложением или его разработчиками.
Безопасность
Каждое требование должно иметь очевидное влияние на безопасность. Отсутствие требования должно привести к снижению уровня защищённости приложения, а реализация требования должна либо уменьшить вероятность возникновения риска безопасности, либо смягчить последствия.
Все прочие аспекты, такие как функциональные характеристики, стиль кода или требования политик, выходят за рамки стандарта.
Верификация
Требование должно быть верифицируемым, а его проверка должна приводить к однозначному решению: «не выполнено» или «выполнено».
Стандарт
ASVS представляет собой набор требований безопасности, которые необходимо реализовать для соответствия стандарту. Это означает, что требования ограничиваются определением целевого показателя безопасности, которого необходимо достичь. Прочая сопутствующая информация может быть надстроена на основе ASVS или связана с ним через сопоставления.
PDF RU
👍3
Злоупотребление сервисами (абьюз) ограничений Wi-Fi на борту самолета: SNI-bypass и DNS-туннеллирование и доверенные сервисы
British Airways
Автор описывает, как авиакомпания фильтрует бесплатный «месседжинг»-тариф по SNI (Server Name Indication) — по доменам, которые видны в начале TLS-рукопожатия; если SNI совпадает с разрешёнными доменами «мессенджеров», соединение пропускается, иначе — сбрасывается.
Обход: создать HTTPS-прокси на своём VPS, прогнать через него трафик и вручную установить SNI в клиентском TLS-handshake (например, через --resolve в curl или правку hosts), чтобы провайдер «думал», что это трафик к разрешённому домену (в статье используется wa.me (whatsapp) как пример). Для TLS-обёртки автор использует stunnel/самоподписанный сертификат и игнорирование проверок на клиенте.
Air Canada
Поскольку шлюз самолета не блокирует DNS-запросы, теоретически мы могли бы замаскировать наш прокси-сервер под DNS-сервер, открыть порт 53 для службы DNS, направлять все запросы через прокси-сервер, замаскированный под DNS-запросы, и таким образом обойти ограничения.
PySkyWiFi
PySkyWiFi — это сильно упрощённая версия протокола TCP/IP, которая передаёт все HTTP-запросы через аккаунт AirMiles из самолёта на компьютер, подключенный к интернету на земле. Служба, работающая на этом компьютере, отправляет HTTP-запросы за пользователя, а затем передаёт готовые HTTP-ответы обратно через аккаунт AirMiles в самолёт.
_______________
Почему Wi‑Fi в самолете такой ужасный, дорогой и до сих пор есть не везде и как это работает.
British Airways
Автор описывает, как авиакомпания фильтрует бесплатный «месседжинг»-тариф по SNI (Server Name Indication) — по доменам, которые видны в начале TLS-рукопожатия; если SNI совпадает с разрешёнными доменами «мессенджеров», соединение пропускается, иначе — сбрасывается.
Обход: создать HTTPS-прокси на своём VPS, прогнать через него трафик и вручную установить SNI в клиентском TLS-handshake (например, через --resolve в curl или правку hosts), чтобы провайдер «думал», что это трафик к разрешённому домену (в статье используется wa.me (whatsapp) как пример). Для TLS-обёртки автор использует stunnel/самоподписанный сертификат и игнорирование проверок на клиенте.
Air Canada
Поскольку шлюз самолета не блокирует DNS-запросы, теоретически мы могли бы замаскировать наш прокси-сервер под DNS-сервер, открыть порт 53 для службы DNS, направлять все запросы через прокси-сервер, замаскированный под DNS-запросы, и таким образом обойти ограничения.
PySkyWiFi
PySkyWiFi — это сильно упрощённая версия протокола TCP/IP, которая передаёт все HTTP-запросы через аккаунт AirMiles из самолёта на компьютер, подключенный к интернету на земле. Служба, работающая на этом компьютере, отправляет HTTP-запросы за пользователя, а затем передаёт готовые HTTP-ответы обратно через аккаунт AirMiles в самолёт.
_______________
Почему Wi‑Fi в самолете такой ужасный, дорогой и до сих пор есть не везде и как это работает.
1👍2
В ближайшее время мобильный интернет и СМС в течение суток не будут работать на российских сим-картах, если их владельцы вернулись из международного роуминга или сама карта не была активна более 72 часов. Сейчас аналогичная мера действует для иностранных сим-карт, но для российских «период охлаждения» планируется смягчить: незамедлительно возобновить доступ к услугам можно будет при прохождении верификации абонента. Подобная мера может быть направлена на ограничение работы сим-карт, которые используются при атаках БПЛА, отмечают эксперты.
Тем не менее, по словам источника, власти утвердили механизм, который должен сократить время «охлаждения»: на телефон будет приходить СМС с ссылкой, по которой абоненту нужно будет перейти и ввести так называемую капчу (тест, который используется для определения, является пользователь человеком или ботом), после чего мобильный интернет и возможность получать и отправлять СМС заработают.
Тем не менее, по словам источника, власти утвердили механизм, который должен сократить время «охлаждения»: на телефон будет приходить СМС с ссылкой, по которой абоненту нужно будет перейти и ввести так называемую капчу (тест, который используется для определения, является пользователь человеком или ботом), после чего мобильный интернет и возможность получать и отправлять СМС заработают.
👍4👎3
LANDFALL — коммерческое шпионское ПО для Android, эксплуатирующее уже исправленную уязвимость нулевого дня Samsung (CVE-2025-21042) посредством отправленных через WhatsApp вредоносных изображений DNG, что позволяет взломать устройства Samsung Galaxy без единого клика.
Это не единичный случай. LANDFALL — часть более масштабной волны эксплуатации DNG. В течение нескольких месяцев злоумышленники использовали уязвимости анализа изображений в Samsung (CVE-2025-21042, CVE-2025-21043) и Apple (CVE-2025-43300 в цепочке с WhatsApp CVE-2025-55177 для доставки).
Это не единичный случай. LANDFALL — часть более масштабной волны эксплуатации DNG. В течение нескольких месяцев злоумышленники использовали уязвимости анализа изображений в Samsung (CVE-2025-21042, CVE-2025-21043) и Apple (CVE-2025-43300 в цепочке с WhatsApp CVE-2025-55177 для доставки).
DNG (Digital Negative Specification), или «цифровой негатив» — открытый формат для Raw-файлов изображений, используемый в цифровой фотографии. Разработан компанией Adobe Systems с целью создать стандартный формат для Raw-файлов изображений вместо множества различных форматов разных производителей фотокамер.
Файл может хранить в себе одно главное изображение, несколько изображений меньшего разрешения/качества для предпросмотра и метаданные. Формат поддерживает также сжатие данных без потерь (lossless JPEG). Спецификации формата DNG компания Adobe предоставляет бесплатно, поэтому любой производитель цифровой фототехники может включить поддержку данного формата.
👍1
NEXUS SENTINEL STATION
NETWORK INTELLIGENCE & THREAT ANALYSIS PLATFORM
Интегрированная операционная платформа безопасности, объединяющая диагностику сети с анализом угроз из нескольких источников. Проверка IOC в режиме реального времени и полный набор сетевых инструментов для аналитиков безопасности и сетевых инженеров.
NETWORK INTELLIGENCE & THREAT ANALYSIS PLATFORM
Интегрированная операционная платформа безопасности, объединяющая диагностику сети с анализом угроз из нескольких источников. Проверка IOC в режиме реального времени и полный набор сетевых инструментов для аналитиков безопасности и сетевых инженеров.
👍2
Forwarded from metroelf
А знаете, где еще есть рубильник и он может отключиться? Конечно же, в китайских электробусах 😂
В Норвегии и Дании выяснили, что электроавтобусы Yutong умеют делать то, чего не было в спецификации — их можно выключить удалённо прямо во время движения.
Норвежский Минтранс проверил — доступ к системам реально есть, причём с передачей данных с камер, микрофонов и GPS. То есть «умный транспорт» оказался чуть умнее, чем хотелось.
Сим-карты можно вытащить — но тогда автобус перестанет общаться с городскими системами. В Yutong клянутся, что доступ нужен только для диагностики, а данные «безопасно» лежат на AWS во Франкфурте.
Однако в Копенгагене уже бьют тревогу: 469 китайских автобусов — это готовая DDoS-бомба на колёсах.
Ждем первых взломов, а пока киберпанк уровня WatchDogs все ближе😁
В Норвегии и Дании выяснили, что электроавтобусы Yutong умеют делать то, чего не было в спецификации — их можно выключить удалённо прямо во время движения.
Норвежский Минтранс проверил — доступ к системам реально есть, причём с передачей данных с камер, микрофонов и GPS. То есть «умный транспорт» оказался чуть умнее, чем хотелось.
Сим-карты можно вытащить — но тогда автобус перестанет общаться с городскими системами. В Yutong клянутся, что доступ нужен только для диагностики, а данные «безопасно» лежат на AWS во Франкфурте.
Однако в Копенгагене уже бьют тревогу: 469 китайских автобусов — это готовая DDoS-бомба на колёсах.
Ждем первых взломов, а пока киберпанк уровня WatchDogs все ближе
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Forwarded from Femida
#фрод_новости #telegram #stars
Ага, снова.
Вчера на неофициальный клиент телеги появился плагин, который создавал на аккаунте 900к+ звезд визуально (буквально как через CheatEngine менять баланс в оффлайн-играх 😶🌫️)
При этом эти звёзды можно было списывать в большом количестве ботов. Да, опять обанкротили ботов. Никогда такого не было и вот опять.
В чем была проблема и как это работало?
При оплате Stars'ами происходит два вызова payment api Телеграма: сначала
Так вот официальный клиент никогда не позволяет отправить
Несмотря на то, что в самой документации к API связанной со Stars, Telegram говорит проверять каждую транзакцию на
Уже традиция🫡
Плагин для клиента Telegram позволял накручивать звёзды
Ага, снова.
Вчера на неофициальный клиент телеги появился плагин, который создавал на аккаунте 900к+ звезд визуально (буквально как через CheatEngine менять баланс в оффлайн-играх 😶🌫️)
При этом эти звёзды можно было списывать в большом количестве ботов. Да, опять обанкротили ботов. Никогда такого не было и вот опять.
В чем была проблема и как это работало?
При оплате Stars'ами происходит два вызова payment api Телеграма: сначала
pre_checkout (используется для проверки наличия товара), а затем successful_payment (при самой отправке звезд). Так вот официальный клиент никогда не позволяет отправить
pre_checkout, если у клиента недостаточно звёзд. Но на бэкенде этой проверки нет, поэтому никто не мешает заслать этот запрос :) Несмотря на то, что в самой документации к API связанной со Stars, Telegram говорит проверять каждую транзакцию на
successful_payment, много вайб- (или школо-) кодеров решило, что pre_checkout им достаточно (:))Уже традиция
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍6
Во вторник (11.11.25) компания Microsoft выпустила исправления для 63 новых уязвимостей безопасности, обнаруженных в ее программном обеспечении, включая одну, которая активно эксплуатировалась злоумышленниками.
Из 63 уязвимостей четырем присвоен критический уровень серьёзности, а 59 — важный. Двадцать девять из этих уязвимостей связаны с повышением привилегий, за ними следуют 16 уязвимостей, связанных с удалённым выполнением кода, 11 уязвимостей, связанных с раскрытием информации, три уязвимости типа «отказ в обслуживании» (DoS), две уязвимости, связанные с обходом функций безопасности, и две уязвимости, связанные с подменой пароля.
Эти исправления являются дополнением к 27 уязвимостям, которые производитель Windows устранил в своем браузере Edge на базе Chromium с момента выпуска обновления «вторник исправлений» в октябре 2025 года.
Из 63 уязвимостей четырем присвоен критический уровень серьёзности, а 59 — важный. Двадцать девять из этих уязвимостей связаны с повышением привилегий, за ними следуют 16 уязвимостей, связанных с удалённым выполнением кода, 11 уязвимостей, связанных с раскрытием информации, три уязвимости типа «отказ в обслуживании» (DoS), две уязвимости, связанные с обходом функций безопасности, и две уязвимости, связанные с подменой пароля.
Эти исправления являются дополнением к 27 уязвимостям, которые производитель Windows устранил в своем браузере Edge на базе Chromium с момента выпуска обновления «вторник исправлений» в октябре 2025 года.
👍3