www.opennet.ru
В PostgreSQL устранена уязвимость, использованная при атаке на BeyondTrust
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19, в которых исправлено более 70 ошибок и устранена уязвимость (CVE-2025-1094), в конце декабря задействованная в атаке на компанию BeyondTrust…
🔗Ссылка:
https://opennet.ru/62722/
https://opennet.ru/62722/
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Forwarded from 🕷 BugBountyRu
Чтобы решить эту проблему, команда PortSwigger создала шпаргалку со всеми известными пэйлоадами. В итоге в вашем арсенале теперь есть интерактивное веб-приложение, которое автоматически настраивает свои параметры в зависимости от вашего контекста.
• Обход списка разрешенных доменов: разработан для атак с путаницей доменов. Вы можете настроить тестовые домены, введя разрешенные и атакующие домены соответственно.
• Поддельные относительные URL-адреса: сюда входят допустимые браузером URL-адреса, которые могут быть неправильно проверены на стороне клиента.
• Loopback Address: этот словарь включает различные представления адресов IPv4, IPv6 и их нормализации.
Не можете докрутить SSRF, мисконфиг CORS или open redirect
#шпаргалки
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Что-то на пентестерском
Решил я значит спустя много лет просто поиграть в майкрафт на пиратских серверах, но видимо просто играть я не умею, в результате я случайно обнаружил уязвимость которая позволяет делать из серверов систему для DDoS атак.
Данная уязвимость была обнаружена в плагине который позволяет сменить внешность персонажа, эксплуатация довольно простая, нужно всего лишь в чат написать команду /skin url ссылка_на_скин. Мне стало интересно, какие запросы вообще прилетают. Я вставил туда ссылку из interactsh и поймал пару запросов. В запросах ничего особенного, мое внимание привлекло то, что запросы отправляются с разных IP адресов, которые ничего общего с серверами не имеют, чем не классический DDoS? Подумал я и пошел проверять. Долго исследовать и шерстить код я не стал, мне был интересен импакт
Оказалось в Minecraft серверах есть спам-боты и их устройство довольно простое: есть некий C2 сервер с которого они управляются, именно с него указывают на какой сервер заходить ботам, в каком количестве и какую команду или текст нужно спамить в чат. Их обычно используют малые сервера для похищения онлайна с более крупных серверов. По случайному стечению обстоятельств я познакомился человеком который владеет этим всем и я его попросить в качестве эксперимента устроить атаку на мой тестовый сайт с которого я потом и мониторил нагрузку.
Мой тестовый сайт был без защит от DDoS атак. С 1 сервера где находились 20 спам-ботов, которые спамили команду на протяжении 30 минут, это нагрузило процессор на 18%. А вот суммарно 300 ботов, которые находились на 3 разных серверах смогли нагрузить процессор на 100% и в конечном итоге вывести мой сайт из строя
Это трудозатратно и вряд-ли положит современное веб-приложение наподобие paypal, но при должном количестве ботов и сервером с такой уязвимостью, вполне себе сможет положить обыкновенный сайт
ЧТНП | #блабла
Please open Telegram to view this post
VIEW IN TELEGRAM
Открылся бесплатный набор в 🎓 PFS Academy! Успевайте!
Все на нашем Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Все на нашем Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Discord
Join the Fsecurity | HH Discord Server!
Этот проект создан для формирования сообщества, где участники могут общаться 🤝 и делиться знаниями 📚 в области кибербезопасности 🔐, реверс-инжиниринга 🔍 и других направлений IT 💻. Присоединяйтесь к на
Forwarded from Kali Linux
@linuxkalii
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кибер ПТУ | Кибербезопасность
Настало время уязвимостей
Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).
Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.
Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.
Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.
Ну а вот и эти платформы-агрегаторы👇
📂 CVE Crowd – один из самых популярных сервисов
📂 CVE Shield – один из самых старых агрегаторов
📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни
📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки
📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее
Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.
#BaseSecurity #AppSec #DevSecOps #Pentest
🧠 Твой Пакет Знаний | 🛍 Другие каналы
Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).
Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.
Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.
Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.
Ну а вот и эти платформы-агрегаторы
Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.
#BaseSecurity #AppSec #DevSecOps #Pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Количество статей про Kerberos Relay увеличивается непропорционально слабо, в отличие от количества вопросов по этой теме. Поэтому я принял решение сделать небольшую карту, с помощью которой можно подобрать инструмент, подходящий именно вам, исходя из конкретной ситуации.
Карту в полном формате и с кликабельными ссылками можно найти тут:
https://github.com/CICADA8-Research/Penetration/tree/main/KrbRelay%20MindMap
Всем удачного понедельника 🙂
Количество статей про Kerberos Relay увеличивается непропорционально слабо, в отличие от количества вопросов по этой теме. Поэтому я принял решение сделать небольшую карту, с помощью которой можно подобрать инструмент, подходящий именно вам, исходя из конкретной ситуации.
Карту в полном формате и с кликабельными ссылками можно найти тут:
https://github.com/CICADA8-Research/Penetration/tree/main/KrbRelay%20MindMap
Всем удачного понедельника 🙂
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Открылся бесплатный набор в 🎓 PFS Academy! Успевайте!
Все на нашем Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Все на нашем Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Discord
Join the Fsecurity | HH Discord Server!
Этот проект создан для формирования сообщества, где участники могут общаться 🤝 и делиться знаниями 📚 в области кибербезопасности 🔐, реверс-инжиниринга 🔍 и других направлений IT 💻. Присоединяйтесь к на
Forwarded from REDtalk (Alexey)
This media is not supported in your browser
VIEW IN TELEGRAM
Сначала я хотел оформить этот материал в виде статьи, но думаю, поста будет достаточно.
Я тут недавно заинтересовался темой доставки малварей через игры, в частности, через Minecraft, и прифигел от их количества. Думаю, не для кого не новость, что тем или иным образом возможно вставить вредоносный код внутрь исходного кода, например, невнимательным апрувом пул-реквеста, и он сохранится в последующих версиях, до момента обнаружения. Но в нашем случае всё гораздо легче.
Вернемся к майнкрафту. Так уж получилось, что на самую продаваемую игру в мире сделано самое большое количество модов. А мы знаем, что чем популярнее платформа, тем больше внимания на нее обращают хацкеры. В интернете полно историй про взлом клиентов и серверов через Minecraft, я даже как-то делал пост на эту тему.
Так вот, я решил создать
127.0.0.1 31337/tcp, а также чат-команда /reverseshell для создания шелла на заданный адрес. В будущем предполагается добавить побольше интересных нагрузок и красивый интерфейс внутри игры, но без импакта пользователю (если, конечно, он сам этого не захочетXD)Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
C2 hunting: часть 2. Ищем серверы хакеров по внешним признакам 😁
В предыдущей части мы с вами поговорили о том, как расширить знание об инфраструктуре хакеров, используя PDNS и Whois.
Сегодня обсудим, как искать серверы хакеров не только когда они уже начали использовать свою инфраструктуру в атаках, но и в момент ее развертывания.
Перед самой атакой хакеры, как правило, занимаются подготовкой инструментария и сетевой инфраструктуры. В моделях угроз этот этап обычно называется weaponization или resource development.
Практически у любого ВПО в том или ином виде есть механизм коммуникации с C2. Сам C2 обладает рядом признаков, которые могут быть получены, если его просканировать или просто обратиться на конкретный порт, например 443. Так мы, скорее всего, получим параметры TLS-сертификата, параметры TLS-соединения, заголовки ответа сервера и содержимое веб-страницы.
Соответственно, разбирая ВПО хакеров и анализируя их сетевую инфраструктуру, мы будем иметь представление об уникальных признаках, которые они используют на своих C2 для конкретного ВПО, что позволит нам в некоторых случаях обнаруживать их C2 в момент развертывания сетевой инфраструктуры для атаки и превентивно блокировать эти индикаторы на СЗИ.
Список наиболее популярных признаков, которые можно использовать для идентификации С2:
✅ Параметры TLS-сертификата
✅ Параметры TLS-соединения (JA3, JA4, JARM и т. д.)
✅ Заголовки ответа от сервера
✅ Контент и title страницы
✅ Набор открытых портов
✅ Favicon
Ограничить поиск всегда можно с помощью указания ASN, хостера или страны.
Список сервисов, которые помогут вам искать С2 таким способом:
✅ Shodan
✅ Censys
✅ FOFA
✅ ZoomEye
✅ BinaryEdge
✅ Netlas
✅ ONYPHE
✅ Самописный сканер
Руками искать по всем сервисам трудозатратно, но все же необходимо, так как каждый сервис может выдать разные результаты. Чтобы снизить затраты на ручной труд, нужна автоматизация. Мы у себя разработали систему SCANDAT, которая имеет внутренний поисковый синтаксис и автоматически генерирует поисковые правила под каждый сервис.
😠 На скриншотах 1–3 вы можете увидеть примеры запросов для обнаружения C2 для ВПО GoRed, которое использует группа ExCobalt.
Кроме того, есть базовое опенсорс-решение для автоматизации запросов.
В конечном итоге все идентифицированные C2 из нашей системы попадают в продукты компании, повышая уровень обнаружения угроз.
💡 Стоит отметить, что некоторые разработчики MaaS стараются противодействовать таким методам обнаружения. Например, с определенной версии Medusa Stealer ее разработчики убрали title, некоторый контент на странице и добавили генерацию случайных данных в TLS-сертификат, чтобы нельзя было идентифицировать панель управления стилером через популярные сервисы.
Вы можете не только собирать такие серверы и отправлять их в фиды для СЗИ, но и писать эмуляторы сетевого протокола ВПО, чтобы со свежего С2 получить пейлоад или какой-либо модуль. Это позволит вам получить дополнительные индикаторы и атрибуционные признаки.
#TI #C2 #tips #hunt #malware
@ptescalator
В предыдущей части мы с вами поговорили о том, как расширить знание об инфраструктуре хакеров, используя PDNS и Whois.
Сегодня обсудим, как искать серверы хакеров не только когда они уже начали использовать свою инфраструктуру в атаках, но и в момент ее развертывания.
Перед самой атакой хакеры, как правило, занимаются подготовкой инструментария и сетевой инфраструктуры. В моделях угроз этот этап обычно называется weaponization или resource development.
Практически у любого ВПО в том или ином виде есть механизм коммуникации с C2. Сам C2 обладает рядом признаков, которые могут быть получены, если его просканировать или просто обратиться на конкретный порт, например 443. Так мы, скорее всего, получим параметры TLS-сертификата, параметры TLS-соединения, заголовки ответа сервера и содержимое веб-страницы.
Соответственно, разбирая ВПО хакеров и анализируя их сетевую инфраструктуру, мы будем иметь представление об уникальных признаках, которые они используют на своих C2 для конкретного ВПО, что позволит нам в некоторых случаях обнаруживать их C2 в момент развертывания сетевой инфраструктуры для атаки и превентивно блокировать эти индикаторы на СЗИ.
Список наиболее популярных признаков, которые можно использовать для идентификации С2:
Ограничить поиск всегда можно с помощью указания ASN, хостера или страны.
Список сервисов, которые помогут вам искать С2 таким способом:
Руками искать по всем сервисам трудозатратно, но все же необходимо, так как каждый сервис может выдать разные результаты. Чтобы снизить затраты на ручной труд, нужна автоматизация. Мы у себя разработали систему SCANDAT, которая имеет внутренний поисковый синтаксис и автоматически генерирует поисковые правила под каждый сервис.
Кроме того, есть базовое опенсорс-решение для автоматизации запросов.
В конечном итоге все идентифицированные C2 из нашей системы попадают в продукты компании, повышая уровень обнаружения угроз.
Вы можете не только собирать такие серверы и отправлять их в фиды для СЗИ, но и писать эмуляторы сетевого протокола ВПО, чтобы со свежего С2 получить пейлоад или какой-либо модуль. Это позволит вам получить дополнительные индикаторы и атрибуционные признаки.
#TI #C2 #tips #hunt #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM