0 == "0" — TRUE

❤️ Prototype Pollution — это атака, с помощью которой изменяют прототип базовых объектов (Object.prototype, Function.prototype, Array.prototype) для модификации хода выполнения программы. Например, если код обращается к свойству window.foo и выполняет его содержимое с помощью eval, то в некоторых ситуациях можно добиться выполнения произвольного кода, переписав в прототипе объекта свойство foo (Object.prototype.foo = 'alert(1)'). Чаще всего на клиенте prototype pollution используется для реализации XSS с помощью изменения GET-параметров.

➡️ Тут можете более подробно почитать про Prototype Pollution

❤️ Но как же я могу вас оставить без автоматизации))

pphack
Прокаченный сканер на Prototype Pollution.

Установка:

go install github.com/edoardottt/pphack/cmd/pphack@latest

FAQ:

Usage:
  pphack [flags]

Flags:
INPUT:
   -u, -url string   Input URL
   -l, -list string  File containing input URLs

CONFIGURATION:
   -c, -concurrency int     Concurrency level (default 50)
   -t, -timeout int         Connection timeout in seconds (default 10)
   -px, -proxy string       Set a proxy server (URL)
   -rl, -rate-limit int     Set a rate limit (per second)
   -ua, -user-agent string  Set a custom User Agent (random by default)

SCAN:
   -p, -payload string            Custom payload
   -js, -javascript string        Run custom Javascript on target
   -jsf, -javascript-file string  File containing custom Javascript to run on target

OUTPUT:
   -o, -output string  File to write output results
   -v, -verbose        Verbose output
   -s, -silent         Silent output. Print only results

Использование:

pphack -u https://edoardottt.github.io/pp-test/

pphack -l targets.txt

также вы можете встроить его в свой pipeline

echo https://edoardottt.github.io/pp-test/ | pphack

cat targets.txt | pphack

❤️ #You_have_been_poxeked

🌚 @poxek

Книга Хакерство. Секреты Мастерства
Библиотека журнала Xakep
Издание 2024 года

🔓 @poxek

🔻Mama AMA Criminal - AMA эфир
#AMA

Что такое AMA (Ask Me Anything) эфир? Стрим, когда вы мне сможете задавать любые адекватные и даже личные вопросы в разумных рамках. Подобное уже делал уважаемый @CuriV на своем канале @pathsecure. Не реклама, если что 🌚 Формат зашёл, решил у себя устроить подобное)

⛈ Основная повестка встречи: Проект Похек, рефлексия про прошлое и будущее, ИБ-неИБ и т.д.

📆 Дата: 17 февраля (суббота), 14:00

⏺ Запись встречи будет

Буду благодарен коллегам за репост!

🌚 @poxek

Признавайтесь! Кто любит фолзы? Правильно, никто :)

Поэтому делюсь с вами Living off the False Positive. Это автогенерируемая коллекция ложных срабатываний, взятых из некоторых наиболее популярных наборов правил. Информация классифицирована по методам ATT&CK, источнику правил и источнику данных. Записи включают детали связанных правил, а также их описание и логику обнаружения.

Цель состоит в том, чтобы предоставить эту информацию как красным, так и синим командам. Красные команды могут использовать эту информацию для маскировки, а синие - для оценки слабых мест в своей логике обнаружения. Интересно, что эта информация также может помочь при сортировке и расследовании предупреждений, позволяя выявить общие False Positive, связанные с определенными методами и источниками данных.

➡️ https://br0k3nlab.com/LoFP/

🌚 @poxek

Это пока анонс, как выйдет, обязательно выложу тут)

P.S. но обещаю, что будет смешно и интересно 😉

SQLMap Cheat Sheet
#sqli #cheatsheet

Очередная, но максимальная полная методчика по использованию sqlmap, включая tamper'sы. Советую всем сохранить на всякий случай)

💻 Github репозиторий

🌚 @poxek

Важное объявление!

Завтра вероятно эфир переноситься на другую дату. Я не успел выздороветь и не хочу вам портить качество стрима. Поэтому, если завтра, не очнусь резко здоровым, то перенесу на другую ближайшую свободную дату.

Не болейте! ❤️

POST based Reflected XSS = SelfXSS, but...

Сама по себе POST based Reflected XSS - хрень. Заставить пользователя ввести в какую-то формочку на сайте вашу полезную нагрузку, звучит как SelfXSS 😁
Но, но, но...

Однако есть несколько сценариев, в которых эти уязвимости вполне можно использовать. Reflected XSS в POST просто нужно соединить с другими уязвимостями. Есть три сценария, которые я хотел бы проиллюстрировать:

- Method Tampering
- Подделка межсайтовых запросов (CSRF)
- Spoofed JSON с CSRF

➡️ Это всё можно изучить в статье от TrustedSec: Цепочка уязвимостей для эксплуатации POST based Reflected XSS

А для любителей практики есть:

git clone https://github.com/hoodoer/postBasedXSS; cd postBasedXSS; pip install -r requirements.txt; python postXssServer.py; xdg-open http://localhost

🌚 @poxek

🖼️ Distroless Контейнеры или минимализм ради безопасности и эффективности

В эпоху, когда любой проект зависит от модулей (да-да, log4j тому яркий пример) концепция distroless контейнеров от Google выступает как маяк безопасности. Эти контейнеры, лишенные лишнего балласта в виде стандартных инструментов и библиотек операционных систем, представляют собой идеальное сочетание минимализма и функциональности. Но что делает их такими особенными и почему они становятся неотъемлемой частью современной разработки и кибербезопасности?

🤨 Что это такое

Distroless контейнеры — это как "рюкзаки" для вашего приложения, в которые вы кладете только самое необходимое для путешествия. Если обычный контейнер — это рюкзак, в который вы упаковали не только теплую куртку, но и кучу вещей "на всякий случай", которые в итоге только занимают место и утяжеляют ваш багаж, то distroless контейнер очень легкий и содержит только то, что действительно нужно вашему приложению для работы.

🤨 Как это работает

Ключ к созданию distroless контейнера лежит в использовании минимального базового образа, который включает в себя только необходимые библиотеки и зависимости для запуска конкретного приложения. Google предоставляет несколько таких базовых образов через свой проект google/distroless на 💻 GitHub, которые поддерживают языки программирования, такие как Java, Python (применяется в проекте), Go (применяется в проекте), Node.js и другие.

Спасибо @szybnev за рекомендацию

🤨 Что в них такого особенного

🔵 Углубленная Безопасность

Отсутствие shell и лишних утилит сокращает векторы атак, затрудняя эксплуатацию уязвимостей злоумышленниками.

🔵 Эффективность и Производительность

Минимализм distroless контейнеров ведет к уменьшению их размера, что обеспечивает более быструю доставку и развертывание приложений. Да, не такой уж и важный фактор в домашних условиях, но для микросервисной архитектуры это очень хороший способ уйти от 40-минутного развёртывания одного проекта 🥺.

🤨 За пределами очевидного

🔵 Статическая связь как искусство — Distroless контейнеры идеально подходят для статически слинкованных приложений, где все необходимые библиотеки включены непосредственно в исполняемый файл.

🔵 Упрощение CI/CD — Интеграция в процессы непрерывной интеграции и доставки становится более стройной и эффективной благодаря сокращению времени сборки и развертывания, что способствует более быстрому циклу разработки.

Разберём на примере 💻 Gitlab CI/CD и 💻 Kubernetes

FROM golang:1.21.4 AS build

WORKDIR /src
COPY . .
RUN CGO_ENABLED=0 go build -o /bin/app

FROM gcr.io/distroless/base-debian10
COPY --from=build /bin/app /

CMD ["/app"]

❕ Пример использования в gitlab-ci.yml

stages:
  - build
  - deploy

variables:
  # Указываем ваш registry
  DOCKER_IMAGE_NAME: $CI_REGISTRY

build:
  stage: build
  image: docker:19.03.12
  services:
    - docker:19.03.12-dind
  script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker build -t $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA .
    - docker push $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA

deploy:
  stage: deploy
  image: alpine:latest
  script:
    - apk add --no-cache kubectl
    - kubectl config set-cluster default --server=$KUBE_SERVER --certificate-authority=/etc/deploy/ca.pem
    - kubectl config set-credentials default --token=$KUBE_TOKEN
    - kubectl config set-context default --cluster=default --user=default
    - kubectl config use-context default
    # Указываем использование нашего Distroless контейнера
    - kubectl set image deployment/my-deployment my-container=$DOCKER_IMAGE_NAME:$CI_COMMIT_SHA --namespace=my-namespace
  only:
    - main

😜 Заключение

Distroless контейнеры от Google предлагают уникальный подход к развертыванию приложений, где безопасность и эффективность идут рука об руку с минимализмом и функциональностью. Эта технология открывает новые горизонты для разработчиков, стремящихся к созданию легковесных, безопасных и высокопроизводительных приложений.

#devsecops

🚨Хватит запрещать! Пора обучать!

Информационная безопасность перестает быть карающим контролером для сотрудников, а превращается в доверенного советника. Сегодня фокус сместился в сторону человека - такой подход называют People-Centric Security.

21 февраля 2024 года в 11:00 компания Cloud Networks проводит открытый вебинар «Инструменты и практики повышения уровня грамотности сотрудников в сфере ИБ», посвященный теме «человекоцентричной безопасности», на котором совместно с партнером Phishman расскажет о современных ИБ-практиках и платформе, которая обеспечивает системное обучение культуре информационной безопасности в компаниях среднего и крупного бизнеса.

Программа вебинара:

🌟Концепция People-Centric Security (PCS) и предпосылки ее возникновения
🌟Важность подхода PCS (People-Centric Security) для устойчивости бизнеса и безопасности современной компании
🌟 Статистика утечек в 2023 году
🌟Тенденции кибербезопасности 2023 года
🌟Подход системы Phishman
🌟Демонстрация решения Phishman

Для кого: мероприятие будет интересно руководителям ИБ-подразделений и сотрудникам, ответственным за безопасность, а также руководителям HR-отделов.

Участие бесплатное по предварительной регистрации

Техническим партнером вебинара является компания Axoft - центр экспертизы и дистрибуции цифровых технологий.

РЕКЛАМА. ООО "ОБЛАЧНЫЕ СЕТИ", ИНН 7709470400