Forwarded from Заметки Слонсера (Slonser)
Про рейтинги платформ
Немного небольшой поток мыслей о площадках с рейтингами багбаунти платформ.
Почти синхронно вышли 2 площадки
- https://hackadvisor.io/programs
- https://eh.su/rating
Основная идея довольно простая - сделать более прозрачным опыт других людей на конкретной программе, чтобы можно было упростить процесс выбора.
Из 2 платформ лично более привлекательной мне кажется hackadvisor.io, по следующим причинам:
1. eh.su пока немного багованная в плане интерфейса ( Да и сам интерфейс не особо приятный лично для меня )
2. eh.su содержит только отечественные платформы ( Не понятно зачем мне условно заходить на 2 сайта, если могу смотреть все на одном )
А теперь про глобальные проблемы:
Первая и самая большая проблема - предвзятость негативного опыта. Формируя коротко - это эффект заключающийся в том, что люди чаще склонны уделять больше внимания именно негативу. Подумайте сами, с какой вероятностью в случае обычного триажа ( то есть все было и не плохо и не хорошо, а просто нормально ), вы зайдете на какой-то отдельный сайт написать отзыв? Думаю на самом деле вероятность крайне низка. В случае с простой оценкой вида лайк/дизлайк это работает ещё нормально, но в случае с развернутыми текстовыми отзывами, может получиться перекос который не отражает реальное положение дел.
Вторая проблема - это отсутствие хоть какой либо верификации хакера (То есть нельзя проверить реально ли ты сдавал что-то этой компании и как давно )
Третья проблема (которую думаю не признают многие). В спорах хакеров и триажеров очень часто не правы хакеры. Я сам не являюсь триажером (к счастью), поэтому не могу знать насколько глубака кроличья нора. Был только по одну сторону баррикад и имею опыт неадекватного триажа своих багов (вспомните хотя бы случай с майкрософт)
Однако за последние пол года мне писали довольно много людей с просьбой помочь с XSS, и иногда с тем чтобы помочь объяснить что-то трижерам. И очень часто я понимал, что на самом деле неправ хакер, а не команда триажа.
Ситуации делятся на 2 типа:
- Хакер обладает плохой технической базой, и например пытается сдать XSS на санбоксированном домене (При этом проигрывает на этапе коммуникации и не понимает, что хочет довести ему вендор)
- Люди не читают правила программ, очень часто видел что люди сдают в домены вне скоупа, или импакты вне скоупа. И тут нужно напомнить, что вендор сам вправе распоряжаться своими деньгами как хочет и строить свою матрицу рисков, хоть с RCE за 100$.
Кажется это может породить проблему, что вокруг некоторых программ может создаться негативный фон, просто потому что люди не умеют читать правила / сдают непонятно что, а потом обижаются.
Четвертая проблема, которая пока не очень релевантна. Нет функционала просмотра отзывов за период. Типичная ситуация, когда сменилась триаж команда и стало крайне лучше/хуже. В текущих реалиях обоих сайтов - будет немного неудобно трекать это через рейтинг.
Как решить первую проблему я не знаю. Но для уменьшения проблем 2 и 3 кажется платформам стоит задуматься о верификации хакеров. Сделать это довольно просто, на момент проверки заставляешь пользователя в личном аккаунте в описании на платорме указать что-то вида
Подводя итоги, мотивы - здравые, реализация пока не очень. Время покажет взлетит ли вообще идея или проекты будут заброшены уже через год, пока на платформах слишком мало отзывов, поэтому они слабо выполняют свои функции
Немного небольшой поток мыслей о площадках с рейтингами багбаунти платформ.
Почти синхронно вышли 2 площадки
- https://hackadvisor.io/programs
- https://eh.su/rating
Основная идея довольно простая - сделать более прозрачным опыт других людей на конкретной программе, чтобы можно было упростить процесс выбора.
Из 2 платформ лично более привлекательной мне кажется hackadvisor.io, по следующим причинам:
1. eh.su пока немного багованная в плане интерфейса ( Да и сам интерфейс не особо приятный лично для меня )
2. eh.su содержит только отечественные платформы ( Не понятно зачем мне условно заходить на 2 сайта, если могу смотреть все на одном )
А теперь про глобальные проблемы:
Первая и самая большая проблема - предвзятость негативного опыта. Формируя коротко - это эффект заключающийся в том, что люди чаще склонны уделять больше внимания именно негативу. Подумайте сами, с какой вероятностью в случае обычного триажа ( то есть все было и не плохо и не хорошо, а просто нормально ), вы зайдете на какой-то отдельный сайт написать отзыв? Думаю на самом деле вероятность крайне низка. В случае с простой оценкой вида лайк/дизлайк это работает ещё нормально, но в случае с развернутыми текстовыми отзывами, может получиться перекос который не отражает реальное положение дел.
Вторая проблема - это отсутствие хоть какой либо верификации хакера (То есть нельзя проверить реально ли ты сдавал что-то этой компании и как давно )
Третья проблема (которую думаю не признают многие). В спорах хакеров и триажеров очень часто не правы хакеры. Я сам не являюсь триажером (к счастью), поэтому не могу знать насколько глубака кроличья нора. Был только по одну сторону баррикад и имею опыт неадекватного триажа своих багов (вспомните хотя бы случай с майкрософт)
Однако за последние пол года мне писали довольно много людей с просьбой помочь с XSS, и иногда с тем чтобы помочь объяснить что-то трижерам. И очень часто я понимал, что на самом деле неправ хакер, а не команда триажа.
Ситуации делятся на 2 типа:
- Хакер обладает плохой технической базой, и например пытается сдать XSS на санбоксированном домене (При этом проигрывает на этапе коммуникации и не понимает, что хочет довести ему вендор)
- Люди не читают правила программ, очень часто видел что люди сдают в домены вне скоупа, или импакты вне скоупа. И тут нужно напомнить, что вендор сам вправе распоряжаться своими деньгами как хочет и строить свою матрицу рисков, хоть с RCE за 100$.
Кажется это может породить проблему, что вокруг некоторых программ может создаться негативный фон, просто потому что люди не умеют читать правила / сдают непонятно что, а потом обижаются.
Четвертая проблема, которая пока не очень релевантна. Нет функционала просмотра отзывов за период. Типичная ситуация, когда сменилась триаж команда и стало крайне лучше/хуже. В текущих реалиях обоих сайтов - будет немного неудобно трекать это через рейтинг.
Как решить первую проблему я не знаю. Но для уменьшения проблем 2 и 3 кажется платформам стоит задуматься о верификации хакеров. Сделать это довольно просто, на момент проверки заставляешь пользователя в личном аккаунте в описании на платорме указать что-то вида
hackadvisor_verification: code. (Такая реализована на hackadvisory, на eh.su пока нет) И потом можно поставить лимит, ограничивающий людей с низкой репутацией на платформе от написания отзывов. Подводя итоги, мотивы - здравые, реализация пока не очень. Время покажет взлетит ли вообще идея или проекты будут заброшены уже через год, пока на платформах слишком мало отзывов, поэтому они слабо выполняют свои функции
Forwarded from AppSec Journey
Не такой и новый, но такой родной.
На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...
На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...
GitHub
GitHub - okta-graveyard/repo-supervisor: Scan your code for security misconfiguration, search for passwords and secrets. :mag:
Scan your code for security misconfiguration, search for passwords and secrets. :mag: - okta-graveyard/repo-supervisor
Forwarded from Caster
Релиз моего нового инструмента: Nihilist
Это инструмент аудита безопасности Cisco IOS, который позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры.
В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
При создании этого инструмента меня вдохновили экранизация 1958 года "Отцы и Дети" И. Тургенева и книга Ф. Ницше "По ту сторону добра и зла"
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/2.8, ISO 16000, 1/50s, 35mm)
Link: https://github.com/casterbyte/Nihilist
Это инструмент аудита безопасности Cisco IOS, который позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры.
В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
При создании этого инструмента меня вдохновили экранизация 1958 года "Отцы и Дети" И. Тургенева и книга Ф. Ницше "По ту сторону добра и зла"
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/2.8, ISO 16000, 1/50s, 35mm)
Link: https://github.com/casterbyte/Nihilist
🔥2
Forwarded from SecuriXy.kz
Часто бывает такое, что безопасникам или пентестерам приходится за разработчиками собирать инфу по интернету тк точно известно что «нерадивые» оставляют опасные вещи внутри контейнеров или коде.
Написал скрипт #DockerHub-Scanner
который ищет по названию в #DockerHub репозитории с образами, разбирает их и ищет уязвимости и токены, секреты и тп и формирует удобный вывод в json и результирующую в csv.
PS Наваял на скорую руку, со временем буду дорабатывать
https://github.com/cleverg0d/DockerHub-Scanner
Написал скрипт #DockerHub-Scanner
который ищет по названию в #DockerHub репозитории с образами, разбирает их и ищет уязвимости и токены, секреты и тп и формирует удобный вывод в json и результирующую в csv.
PS Наваял на скорую руку, со временем буду дорабатывать
https://github.com/cleverg0d/DockerHub-Scanner
Forwarded from ESCalator
Сложный пароль не поможет 📮
Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году.
Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл
Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.
Как правило, злоумышленники вносят изменения в функцию
Рассмотрим два актуальных примера:
1️⃣ В функции
2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий
Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией
👀 Пример журнала
YARA:
Happy hunting!
#ir #hunt #yara #dfir #detect #win
@ptescalator
Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году.
Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\XX.X.XXXX\scripts\premium\flogon.js, который является inline-скриптом для главной страницы аутентификации logon.aspx на OWA (Outlook Web Access).<%= InlineJavascript("flogon.js") %>
Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.
$path=".\flogon.js";$time = "2020-01-02 07:24:31";(Get-Item $path).LastWriteTime = $time;(Get-Item $path).CreationTime = $time;(Get-Item $path).LastAccessTime = $time`
Как правило, злоумышленники вносят изменения в функцию
clkLgn, которая является обработчиком кнопки входа. В функцию добавляют вредоносный код, который в открытом виде перехватывает все учетные записи (логины и пароли), введенные пользователями при авторизации на OWA.Рассмотрим два актуальных примера:
1️⃣ В функции
clkLgn формируется URL формата https://[REDACTED]/?key1=smthuser&key2=smthpassword, где smthuser — это логин, а smthpassword — пароль перехваченной учетной записи, и отправляется GET-запрос на управляющий сервер (скриншоты 1, 2).2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий
check.aspx, задача которого — запись перехваченных учетных данных в лог log.png на диске. Доступ к логу атакующие могли получать из интернета. Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией
clkLgn, в код которой была добавлена новая функция chklogin, которая, в свою очередь, вызывала chk, внутри которой формировался URL ./check.aspx?c="smthuser-smthpassword с перехваченными учетными данными в параметре «c» и выполнялся GET-запрос в скрипт check.aspx (скриншоты 3, 4).👀 Пример журнала
log.png:smthuser-
smthpassword#20250304090723
YARA:
rule PTESC_tool_win_ZZ_clkLgnStealer__Stealer{
strings:
$s1 = "// flogon.js"
$s2 = "(\"username\").value"
$s3 = "(\"password\").value"
$s4 = "function clkLgn()"
$s5 = ".send()"
condition:
all of them and filesize < 20KB
}
Happy hunting!
#ir #hunt #yara #dfir #detect #win
@ptescalator