Forwarded from purple shift
Часто на проектах без латиницы (русский, 漢語, اللُّغَةُ العَرَبِيَّة, 👄🗣💬🔤) встречается ситуация, когда API отдаёт json-ы с экранированным текстом (Unicode Escaped). В таком тексте символы Unicode закодированы в виде последовательностей типа \u043f\u0440\u0438\u0432\u0435\u0442. Так обеспечивается поддержка национальных языков в системах, которые работают только на дефолтном языке.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.
Чтобы понять содержимое подобного текста, обычно приходится либо настраивать Hackvertor, либо декодировать контент через Python, что не очень удобно. Также на просторах Интернета можно найти плагины для Burp, которые преобразовывают Unicode Escaped-последовательности – однако написаны они были давно и уже не работают в последних версиях Burp.
Поэтому наш эксперт Евгений Великоиваненко написал свой плагин UnUnicode, позволяющий лёгким движением руки преобразовывать json-ы с экранированными символами в удобочитаемый формат. Плагин может работать во вкладках Proxy и Repeater, а также работает с вебсокетами.
Скачать UnUnicode можно в нашем Гитхабе либо в BappStore.
www.opennet.ru
Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI
Администраторы репозитория Python-пакетов PyPI (Python Package Index) предупредили о выявлении фишинг-атаки, напоминающей недавнюю атаку на сопровождающих пакеты в репозитории NPM. Злоумышленники рассылали сообщения от имени PyPI с уведомлением о необходимости…
🔗Ссылка:
https://opennet.ru/63647/
https://opennet.ru/63647/
Forwarded from AP Security
#pentest #cve
CVE-2025-49113 - Roundcube Remote Code Execution
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.
С proof-of-concept можно ознакомиться по следующей ссылке.
CVE-2025-49113 - Roundcube Remote Code Execution
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено 1 июня 2025 года.
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.
С proof-of-concept можно ознакомиться по следующей ссылке.
XAKEP
В продаже появился эксплоит для критической уязвимости в Roundcube
Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.
👍1
Forwarded from Threat Hunting Father 🦔
"Обнаружена подозрительная активность. Вставьте эту команду в Terminal для восстановления."
команда:
echo 'BASE64' | base64 -d | bash
• крадёт данные браузеров (Firefox, Chrome, Brave)
• собирает кошельки MetaMask, BNB, IndexedDB
• копирует cookies Safari, заметки, keychain
• ворует документы (.txt, .pdf, .docx и др.)
Всё упаковывается в /tmp/out.zip (через ditto) и отправляется на http://C2/log через curl.
После этого скрипт удаляет временные файлы, включая сам архив.
• обнаружено более 50 серверов
• подозрительный порт 3333 с панелью (отдаёт 404 по умолчанию)
• SSH и iperf3 на 5201
• CORS-заголовки позволяют любой Origin и Cookie — можно красть сессии
• не требует .app/.pkg
• не содержит вложений
• всё запускается руками жертвы
• base64 -d | bash — ключевой индикатор
• следить за osascript, curl, base64 в Terminal
• мониторить Clipboard-to-Terminal поведение
• учить пользователей не запускать команды из браузера
• ужесточить CORS-политики
• отслеживать трафик на нестандартные порты (3333, 5201)
ClickFix на macOS — фишинг без файлов, стилер без скачивания, эксфиль без шума.
macOS больше не "безопасная платформа", особенно с такими атаками.
Следим за base64 -d | bash — это новый wscript.exe для Mac.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2
www.opennet.ru
Компания Vivo открыла код ядра BlueOS, написанного на языке Rust
Компания Vivo, занимающая около 10% мирового рынка смартфонов (5 место среди производителей смартфонов), представила первый официальный открытый релиз ядра операционной системы BlueOS (Blue River OS). Операционная система BlueOS развивается с 2018 года и…
🔗Ссылка:
https://opennet.ru/63649/
https://opennet.ru/63649/
www.opennet.ru
Уязвимость в SUSE Manager, позволяющая выполнять root-операции без аутентификации
В инструментарии SUSE Manager, предназначенном для централизованного управления IT-инфраструктурой, в которой используются различные дистрибутивы Linux, выявлена уязвимость (CVE-2025-46811), позволяющая без аутентификации выполнять команды на любых системах…
🔗Ссылка:
https://opennet.ru/63651/
https://opennet.ru/63651/
Forwarded from s0i37_channel
Маленькие хакерские секреты простых вещей. Как на пентесте быстро и просто увидеть что цель это ханипот. И при этом даже не спускаясь с сетевого уровня до уровня приложения.
Все дело в том что, многие производители ханипотов часто забывают эмулировать стэк ОС для соответствующих специфичных сервисов.
Видим типичный набор портов Windows, а сетевой стэк Linux.
Все дело в том что, многие производители ханипотов часто забывают эмулировать стэк ОС для соответствующих специфичных сервисов.
Видим типичный набор портов Windows, а сетевой стэк Linux.